P. 1
Segurança Digital

Segurança Digital

|Views: 1.683|Likes:
Publicado porGhandy Rhodan
Revista segurança digital
Revista segurança digital

More info:

Published by: Ghandy Rhodan on Jun 25, 2012
Direitos Autorais:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

08/02/2013

pdf

text

original

02

LICENÇA
VOCÊ PODE:
Copiar, distribuir e exibir a obra.

COM AS SEGUINTES CONDIÇÕES:
Dar crédito ao autor original e a Comunidade Segurança Digital, citando o nome do autor (quando disponível) e endereço da comunidade.

Você não pode utilizar esta obra como fonte comercial. Este direito é de total exclusividade do titular responsável por manter o site Segurança Digital.

O Projeto Segurança Digital apóia o compartilhamento gratuito de informações e conhecimento, mas ao mesmo tempo defende o fato de que, ao distribuir a obra de outra pessoa ou entidade você deverá citar a fonte original desta, dando assim crédito ao seu autor. Esta revista não poderá ser comercializada sem autorização prévia do responsável Fábio Jânio Lima Ferreira. O Projeto Segurança Digital garante a gratuidade desta edição. A mesma poderá ter uma versão impressa paga, porém a versão digital não poderá, em hipótese alguma, ser comercializada. Só será permitida uma versão impressa para cunho comercial sobre autorização prévia do titular da comunidade. A comercialização da versão impressa desta revista sem autorização prévia constitui crime previsto nas leis nº 6.895 e 10.695. Parágrafo que respalda esta revista: § 1º Lei nº 6.895 ­ Se a violação consistir em reprodução, por qualquer meio, com intuito de lucro, de obra intelectual, no todo ou em parte, sem a autorização expressa do autor ou de quem o represente, ou consistir na reprodução de fonograma ou videograma, sem autorização do produtor ou de quem o represente. Cada autor é responsável por seu artigo, desta forma a comunidade Segurança Digital não se responsabiliza por quebra de direitos autorais, por qualquer colaborador.
Novembro 2011 • segurancadigital.info

EDITORIAL

Enigmas, Tamancos e Segurança da Informação
Talvez iniciar algo realmente inovador e de qualidade não seja assim tão difícil. Com um pouco de inteligência, perseverança e muita atitude é possível acertar uma ou quem sabe mais vezes. O que é realmente difícil é ser constante. E aqui estamos com a terceira edição da revista Segurança Digital, embalados pelo sucesso de publicações anteriores, mas também com a obrigação de fazer melhor, pois afinal o que é o ápice senão o início da decadência? Nossa matéria de capa aborda um dos mais antigos conceitos de segurança da informação que se conhece. Desde Júlio César, que usava o Atbash para se comunicar com seus comandantes, passando pela Segunda Guerra Mundial quando o Enigma protegia comunicações alemãs, a criptografia certamente mudou a face do mundo em que vivemos e evoluiu tornando­se uma parte indispensável do nosso cotidiano corporativo ou mesmo pessoal. Claro, o Kama Sutra também recomendava o uso de criptografia como uma forma segura de comunicação entre amantes, mas preferimos evitar essa abordagem pelo menos nessa edição. Outro fato histórico interessante são tamancos. Seu nome original Sabot, em francês, refere­se a um sapato de madeira comumente usado pela classe operária durante a revolução industrial. Conta a história que, cansados de trabalhar em condições sub­humanas, operários se juntaram e jogaram seus tamancos (sabots) na linha de produção conseguindo destruir o maquinário industrial. Essa é uma origem atribuída ao termo Sabotagem. Bem, talvez hoje eles não calcem tamancos, mas no artigo “Quando o vilão está dentro de

Novembro 2011 • segurancadigital.info

EDITORIAL

casa” abordamos posicionado.

o

risco

de

um

sabotador

bem
EDITOR­ CHEFE Fábio Jânio Lima Ferreira fabiojanio@segurancadigital.info Johnantan Pereira johnantan.pereira@gmail.com EDITOR Claudio Dodt ccdodt@gmail.com EDITOR DE ARTE Hélio José Santiago Ferreira heliojsf@gmail.com COLUNISTAS Luiz Felipe Ferreira lfferreira@gmail.com Nágila Magalhães nagilamagalhaes@gmail.com Alessandra B. G. Hoffmann alefoz2003@hotmail.com Nilson R. S. Vieira nilsonvieira@zoho.com Itamar Pena Nieradka itamarpn@gmail.com REVISÃO Raiana Pereira raianagomes@yahoo.com.br

As histórias contadas acima transparecem um fato óbvio muitas vezes esquecido: Segurança da Informação é algo atemporal e existe independentemente da tecnologia. O único componente eternamente presente é o ser humano e esse é o nosso foco. Para garantir a proteção da informação é necessário entender o ser humano com todos os seus complexos, motivadores obscuros, qualidades e defeitos, pelo menos até a chegada dos cylons. Com o fechamento de nossa terceira edição esperamos dar nossa contribuição para que você, nosso caro leitor, possa dar passos cada vez mais largos para um mundo mais protegido.

Na Internet http://twitter.com/_SegDigital

Animis opibusque parati! Por Claudio Dodt.

www.facebook.com/segurancadigital www.youtube.com/segurancadigital www.segurancadigital.info

Novembro 2011 • segurancadigital.info

05
Fábio Jânio Lima Ferreira Analista de suporte técnico e administrador de redes, também possui conhecimentos na área da segurança computacional. Apaixonado por tecnologia e fascinado pela cultura hacker. Johnantan Pereira Analista de Segurança, Graduado em Redes de Computadores pela Faculdade Estácio do Ceará, com Extensão em Perícia Forense Computacional. Apaixonado por Tecnologia, Admirador e Pesquisador da Cultura Hacker, Usuário e Ativista Linux. Nágila Magalhães Graduada em Tecnologia em Redes de Computadores pela FCAT (Faculdade de Castanhal), estudante matriculada do curso de pós­ graduação em Computação Forense pela Esamaz. Certificada em administrador de redes de computadores e assistente em montagem, manutenção e instalação de redes de computadores.

Hélio José Santiago Ferreira Engenheiro por formação. Atualmente desenvolve atividades de consultoria em Software Livre, ministra cursos e palestras. Como designer colabora nas revistas Espírito Livre e Segurança Digital. É membro da The Document Foundation e atua como coordenador da revista LibreOffice Magazine Brasil. Nilson R. S. Vieira Analista de Segurança pela SEFAZ­MA, trabalha com tecnologia desde os 14 anos, viciado em Linux e aplicações OpenSource.

Lígia Barroso Mestrada em Direito da Propriedade Intelectual na Universidade de Lisboa. Especialista em Direito Eletrônico e Sociedade da Informação UNIGRAN), com linha de pesquisa em Alessandra B. G. Hoffmann Mestre em Ciência da Computação pela UFSC, Coordenadora e Professora do curso de Ciência da Computação na CESUFOZ. Professora do curso de Ciência da Computação na UTFPR­ Medianeira. Especialista em Engenharia de Software pela UNIOESTE e Especialista em Sistemas Web, baseados em Objetos pela UTFPR (em andamento). Itamar Pena Nieradka Professor do curso de Ciência da Computação do CESUFOZ. Analista de Sistemas Júnior da NeoAutus Automation System. Especialista em Redes de Computadores e Sistemas Distribuídos pela UFSC. Especialista Informática Aplicada UNIVEL e Especialista Sistemas Web, baseados em Objetos pela UTFPR (em andamento). Propriedade Intelectual, Segurança da informação e Crimes Eletrônicos.

Cláudio Dodt Consultor Sênior em Segurança da Informação e gerente de projetos com foco em TI, atua na área de tecnologia há mais de 10 anos exercendo atividades como Técnico e Analista de Suporte, Analista de Segurança Sr. Security Officer e Supervisor de Infra­Estrutura e Segurança. Luiz Felipe Ferreira Graduado em Processamento de Dados pela UniverCidade e com MBA de Gestão de Projetos e Negócios de TI pela UERJ. Possui certificações ITIL, VCP, LPI­Level 1 e MCP. No mercado da TI há 9 anos, vem trabalhando com Segurança da Informação desde 2006. Atualmente trabalha no setor de IT Security de uma grande empresa brasileira de Comunicação.

Novembro 2011 • segurancadigital.info

06

Novembro 2011
ARTIGOS
07 CRIPTOGRAFIA Uma forma cômoda e segura de armazenar, transferir e proteger informações de todo tipo 09 SEGURANÇA COM SOFTWARE OPENSOURCE Mantenha seus dados protegidos sem custo algum. O mundo OpenSource está repleto de soluções livre 11 O USO DA ESTEGANOGRAFIA COMO PRÁTICA ANTI­ FORENSE A arte de esconder alguma coisa (camuflar), é um dos benefícios explorados pela esteganografia 15 IMPLEMENTAÇÃO DE DRIVERS EM AMBIENTE WINDOWS Este artigo apresenta o conceito do desenvolvimento de drivers para ambiente Windows 21 QUESTÕES DE CISSP Atualmente a CISSP é uma das certificações mais procuradas por profissionais 25 SEGURANÇA DA INFORMAÇÃO Com certeza você já ouviu falar, mas talvez não saiba ao certo o que significa 30 BANNER HACK'N RIO Uma iniciativa da comunidade de software livre do Rio de Janeiro, um evento sem fins lucrativos 31 MOBILIDADE O novo desafio da Segurança da Informação: Você está preparado? 37 QUANDO O VILÃO ESTÁ DENTRO DE CASA 40% dos colaboradores de TI admitem poder causar danos severos na infraestrutura 39 ISO­ 8859­ 1 ­ REDES SOCIAIS E OS LIMITES À LIBERDADE DE EXPRESSÃO A internet configura importante instrumento de acesso à informação e à cultura, mas também vem sendo utilizada como ferramenta de propagação de agressões e cometimento de crimes.

PARCEIROS
45 KRYPTUS Desenvolvemos soluções líderes em segurança

46 4LINUX Linux sinônimo de liberdade

47 HOSTDIME Google Chrome deve passar Firefox até o final do ano

DICA DE SEGURANÇA
34 KEEPASS Uma ótima opção para armazenar em um único lugar todas as senhas que você utiliza no dia­ a­ dia. Gratuito e de código aberto essa é a proposta do Keepass

LIVRO EM DESTAQUE
Uma leitura obrigátoria Desvendando a Computação Forense

28

42
COLUNA DO LEITOR
Emails, sugestões e comentários. Envie o seu, e contribua para com o nosso projeto.

43
NOTÍCIAS
Fique informado quanto ao que acontece no mundo virtual.

Novembro 2011 • segurancadigital.info

07 ARTIGO Segurança Digital

Criptografia

SEGURANÇA NUNCA É DEMAIS
CRIPTOGRAFIA É A CIÊNCIA E ARTE DE ESCREVER MENSAGENS EM FORMA CIFRADA OU EM CÓDIGO. É PARTE DE UM CAMPO DE ESTUDOS QUE TRATA DAS COMUNICAÇÕES SECRETAS.
POR: Fábio Jânio Lima Ferreira E­mail: fabiojanio@segurancadigital.info Twitter: @_SDinfo

Criptografia (Do Grego, Kryptós “escondido/oculto” e gráphein “escrita”), a criptografia é a arte de pegar um conteúdo qualquer (foto, texto, vídeo, etc) e torná­lo ilegível, de tal forma que apenas seu destinatário tenha condições de reverter à codificação e ler o conteúdo em questão. Criptologia é o campo que engloba a Criptografia e a Criptoanálise. A criptografia consiste basicamente da cifragem dos dados (bits) e/ou codificação destes, tornando­os ilegível caso o destinatário não possua a chave secreta (chave responsável por reverter o processo criptográfico). Cifragem e Codificação A cifragem é o processo pelo qual algoritmos são utilizados para “embaralhar” uma “mensagem” tornando a mesma ilegível. Em geral este processo

tem como parâmetro uma chave criptográfica, esta chave é secreta, conhecida apenas pelas partes envolvidas, pois, é esta que permite tornar a “mensagem” legível novamente. A Codificação tem a mesma função da cifragem, tornar algo ilegível, porém o processo aqui utilizado é um pouco diferente. Na cifragem a “mensagem” é embaralhada podendo ser revelada somente perante a chave criptográfica, já na codificação não existe este embaralhamento da “mensagem”, mas sim substituição de “letras, grupos de letras, bits, etc”. Tanto a cifragem como a codificação podem ou não possuir uma chave criptográfica, acrescentando assim uma camada extra de segurança. OBS: Na linguagem popular cifragem e codificação são as mesmas coisas, já na linguagem técnica são completamente diferentes. A cifragem “embaralha”, e a codificação “substitui”.
Novembro 2011 • segurancadigital.info

08 ARTIGO Segurança Digital Chave Criptográfica É um valor secreto que tem como função modificar um algoritmo de encriptação. Você terá duas chaves, uma para criptografar a “mensagem” conhecida como chave pública e outra para descriptografar, conhecida como chave privada. Outro ponto a ser levado é que, o algoritmo de encriptação utilizado pode ser do conhecimento de todos, mas a chave criptográfica tem de ser secreta. A criptografia tem três pilares principais: • Confidencialidade: só o destinatário autorizado deve ser capaz de extrair o conteúdo da mensagem. • Integridade: o destinatário deverá ser capaz de determinar se a mensagem foi alterada durante a transferência. • Autenticação: o destinatário deverá ser capaz de identificar o remetente e certificar­se de que foi este que enviou a mensagem. Gosto de considerar o ponto abaixo, um pilar complementar: • Não repúdio: Não deverá ser possível ao emissor negar a autoria da mensagem. Nem todos os algoritmos criptográficos utilizados garantem estes quatro pontos, mas deveriam. Porque utilizar uma criptografia Todos nós temos a necessidade de proteger ou esconder algo dos olhares curiosos do mundo, certo? Então neste momento entra em cena a criptografia. Quando você precisar enviar um e­mail sigiloso contendo informações sensíveis (um projeto, documentos anexados, um relatório comprometedor, etc.) este e­mail pode ser interceptado com certa “facilidade”, desta forma o interceptador poderia se utilizar destas informações para fins maliciosos. Se este e­mail estiver criptografado você terá assim adicionado uma camada extra de segurança ao conteúdo do e­mail. Lembre­se, nada é 100% seguro, mas se você entregar tudo de bandeja com certeza o “meliante” irá se beneficiar disso, se você dificultar para o lado deste, poderá fazer com que ele desista de tentar. É possível adicionar diversas camadas de segurança a qualquer tipo de arquivo, para poder proteger seu conteúdo. Em edições futuras falaremos de outras técnicas. Para criptografar um arquivo ou conteúdo qualquer são utilizados algoritmos, isso significa que no momento de criptografar um arquivo você poderia mudar o algoritmo utilizando, resultando em uma criptografia mais forte ou não.

Sugestão de leitura http://tecnologiadarede.webnode.com.br/news/notic ia­aos­visitantes/ http://www.infowester.com/criptografia.php

Novembro 2011 • segurancadigital.info

09 ARTIGO Segurança Digital

Segurança com software OPENSOURCE

SEGURANÇA A CUSTO ZERO
O MUNDO OPEN SOURCE ESTÁ CHEIO DE SOLUÇÕES LIVRES PARA LIDAR COM A SEGURANÇA DA INFORMAÇÃO, E COM ISSO MANTER SEUS DADOS PROTEGIDOS SEM CUSTO ALGUM. VENHA FAZER PARTE DESTE MUNDO.
POR: Nilson R. S. Vieira Twitter: @nillvieira Blog: www.nilsonvieira.blogspot.com E­mail: nilsonvieira@zoho.com

Estamos na era da informação, onde os dados trafegam de maneira bastante intensa, nas redes sociais, nos e­mails, sites de pesquisa e outros. Tudo isso em desktops, notebooks, tablets e celulares, ou seja; só fica incomunicável e desinformado quem quer! Porém com tantos meios de comunicação e com o tráfego a todo vapor, surge uma incógnita: Será que estamos seguros? Ou minhas informações particulares estão nas mãos de quem não deveria? E como resolvo isso? Recentemente, alguns famosos tiveram seus celulares invadidos e as fotos ficaram expostas na web, como isso aconteceu? Sabe­se que existem programas de segurança, mas eles custam muito caro, certo? Errado! Existem programas OpenSource1 que além de serem gratuitos ainda possuem código aberto para que possam ser melhorados.

O Sistema Operacional mais indicado para quem quer ficar seguro é o LINUX, que possui código aberto e milhões de desenvolvedores no mundo todo trabalham para corrigir as falhas que possivelmente ocorrerão com o sistema e segurança. Porém, apenas o S.O não é o suficiente para proteção, é necessário adicionar várias ferramentas para complementar a segurança. Para quem trabalha com servidores, existem algumas brechas que precisam ser fechadas, caso contrário o “rato entra em sua casa”, e para isso usa­se algumas ferramentas como Firewall, IDS/IPS, Proxy, e outras. HARDENING é o processo de “endurecimento” do sistema, onde você habilita seu firewall selecionando o que deve passar ou não por ele, muda a porta de aplicações do padrão, como SSH (Secure Shell), aumentar o tamanho do seu histórico e outras coisas. Lembrando que Hardening não é
Novembro 2011 • segurancadigital.info

10 ARTIGO Segurança Digital uma aplicação, mas sim o nome do processo que é utilizado. Para detectar e finalizar intrusos na sua rede, você deverá usar programas de IDS/IPS, dentre os quais, o mais conhecido é OpenSource seu nome é snort. O Snort é – como o próprio nome diz – um “farejador”, e busca por tentativas de intrusão, ele detecta e mata o processo que está o tempo todo tentando invadir ou somente dando uma “passadinha” para invadir depois. O firewall do Linux nativo é o IPTABLES, é perfeito, sendo bem configurado não passa nada, e seu computador ou servidor, certamente, estará bem seguro. Além do Iptables, que é totalmente Shell (linha de comando), também possui a interface gráfica muito boa para quem não gosta de linha de comando, basta instalar o pacote FWBUILDER, o mesmo serve também para quem não quer criar um script muito extenso com todas as regras para o servidor, ele mesmo se encarrega disso com um a interface bem agradável. Mas lembre­se que se tratando de um servidor, deve­se optar pelo desempenho, logo instale a configuração gráfica, porém só utilize­a quando necessário, ou seja, quando for compilar uma regra, ver algum filtro, alguma tabela, etc... Falando em firewall lembramo­nos de filtro, então que tal falarmos também de filtros de conteúdo? O Squid é uma aplicação que é usada como Proxy, ou seja, para evitar que na rede sejam acessados por usuários sites indevidos, como sites pornôs, jogos, entretenimento que não seja necessário ou tenha origem duvidosa. Ele libera para o usuário somente aquilo que deve ser visto para isso precisa ser configurado, nada mais. Concluindo, temos diversas ferramentas OpenSource que podem e devem ser utilizadas para segurança, pois seu código fonte não é fechado, logo, podemos alterar de acordo com a nossa necessidade e sem depender de uma empresa que vende o produto para isso. As mesmas ferramentas também possuem comunidades individuais que auxiliam desde a configuração inicial até nos problemas mais complexos que podem vir a surgir e sem precisar pagar suporte para isso.

¹ Desenvolvido pela OSI(OPEN SOURCE INITIATIVE), refere­se a software como código aberto. (Wikipedia)
Novembro 2011 • segurancadigital.info

11

ARTIGO Segurança Digital

O Uso da Esteganografia como Prática Anti-Forense

A ARTE DE ESCONDER
A ESTEGANOGRAFIA É A ARTE DE ESCONDER UMA "MENSAGEM" DENTRO DE UMA IMAGEM, VÍDEO OU QUALQUER OUTRO TIPO DE ARQUIVO, FAZENDO COM QUE ESTÁ "MENSAGEM" PASSE DESPERCEBIDA AOS OLHOS DE TERCEIROS.

POR: Nágila Magalhães Cardoso E­mail: nagilamagalhaes@gmail.com Twitter: @netnagila

Resumo ­ Com o aumento da popularidade e as facilidades no uso da internet e com avanço da computação tem se tornado cada vez mais propício para entrada de criminosos no ambiente virtual, gerando com isso o crescimento a cada dia de crimes digitais. Por outro lado além de cometerem crimes, existe a preocupação em não deixar evidências para comprovação da autoria. Atualmente os criminosos digitais buscam técnicas e ferramentas para dificultar e esconder na descoberta de possíveis provas no trabalho do perito. São conhecidos como métodos anti­forense, neste artigo será abordado a técnica de esteganografia. 1. Introdução É comum ouvir e evidenciar relatos e perigos de crimes praticados no mundo real, mas com o avanço e o ganho cada vez mais crescente na popularização e o próprio anonimato que traz no uso de computadores e internet tem estimulado

gradativamente o interesse de criminosos no ambiente virtual com os mesmos tipos de práticas conhecidas como crimes digitais. Apesar¹ da utilização de computadores não ser uma prática tão recente no mundo do crime, a legislação brasileira, por exemplo, ainda não está preparada para tipificar todas as modalidades especificas de crimes cibernéticos. Devido o aumento de delitos cometidos no espaço virtual, surgiu a área conhecida como computação forense que tem como objetivo principal formar peritos para determinar a dinâmica, a materialidade de ilícitos ligados à área de informática tendo como questão principal a identificação, preservação, extração, restauração e o processamento de evidências digitais em provas materiais de crime, por meio de métodos técnico­científicos, conferindo­ lhe validade probatória em juízo². Entretanto criminosos digitais procuram formas de
Novembro 2011 • segurancadigital.info

12 ARTIGO Segurança Digital inibir o trabalho do perito ou até mesmo destruir por completo as possíveis provas. São conhecidos como métodos anti­forenses e uns dos métodos bastante eficazes para ocultação de informações está na técnica de esteganografia abordada mais a seguinte. 1.1. Anti­ Forense Quando o assunto é deixar mínimas ou nenhuma pistas possíveis do ato criminoso, a criatividade e a busca de inovações são grandes e o nome dado para esses tipos de práticas utilizadas na área da computação forense é chamada de anti­forense. São³ métodos de remoção, ocultação e subversão de evidências com o objetivo de mitigar os resultados de uma análise forense computacional. 1.2. Esteganografia Esta técnica de segurança da informação de significado de origem grega, stegános (oculto, esconder, mascarar) e gráphein (escrita) que tem como objetivo principal ocultar a informação, ou seja, esconder uma evidência em lugares que não levantariam suspeitas, vem de origem muito antiga em utilizações nas comunicações de guerras, como era o caso de escreverem mensagens de guerras na cabeça de escravos fies e então esperar o cabelo crescer para que a mensagem fosse encoberta e com isso transportar­la ao destino de maneira segura e entre diversas outras técnicas utilizadas para comunicação em segredo. Mas com o avanço da tecnologia e principalmente o uso de computadores possibilitou que está técnica ganhasse maior destaque, transformações e conhecimento da sua utilização para práticas ilegais. A esteganografia consiste basicamente em ocultar uma informação dentro de outra, uns dos métodos principais para esse processo de ocultação é usar os bits menos significativos do objeto portador como imagem, vídeo, música entre outros itens que geralmente não levantariam suspeitas aos olhos humanos, para substituir com os bits da informação a ser escondida. Uns dos meios mais utilizados para ocultar uma informação dentro da outra é a utilização de programas de esteganografia
Novembro 2011 • segurancadigital.info

disponíveis na própria internet desde a simples comandos no CMD no sistema operacional do computador. Infelizmente esta técnica não vem sendo bem utilizada para razões legais e sim ilegais tais como para roubo de dados, esconderijo de vírus, comunicação secreta e enviá­las, por exemplo, para fora do Brasil através de simples e­mail, esconder arquivos pornográficos, pedofilia e entre outros. Um pedófilo pode muito bem esconder a foto da vítima em uma imagem inofensiva como, por exemplo, a própria imagem do plano de fundo do sistema operacional entre outras opções como esconderijo, pois com um programa de esteganografia é possível escolher entre mais variadas formas de recipiente para esconder algum tipo de conteúdo, entre esses recipientes podemos citar uma imagem, um vídeo, uma música, uma página da internet e outros

Esconder a existência de alguma "coisa" pode ser a forma mais eficaz de manter essa "coisa" segura. Tem um velho ditado que diz, "o que os olhos não veem o coração não sente".

13 ARTIGO Segurança Digital Veja o exemplo abaixo:

´

Novembro 2011 • segurancadigital.info

14 ARTIGO Segurança Digital A utilização dessa técnica já foi alvo como meio de comunicações secretas pelo grupo terrorista Al­Qaeda4 no atentado contra as Torres Gêmeas do World Trade Center em 2001 e pelo traficante de drogas Juan Carlos Abadia5 pelo qual este usava imagens da “gatinha Hello Kitty” para esconder mensagens de voz com ordens para se comunicar através de e­mails com parceiros da Colômbia com o objetivo de movimentar a cocaína entre os países e sumir com pessoas na Colômbia. 2. Conclusão Atualmente o que mais ouve falar é de ataques e práticas ilegais cometidos com o uso e ajuda de recursos tecnológicos, os profissionais em computação forense e outras áreas ligadas estão sendo bastante requisitado, pelo quais estes precisam ter bastante conhecimento sobre as mais variadas técnicas utilizadas por criminosos digitais e saber os métodos anti­forenses é fundamental durante uma investigação.

Referências

1. ROSA, F. Crimes de Informática. São Paulo: Bookseller, 2007. 2. ELEUTÉRIO, Pedro. M.S; MACHADO, Márcio. P. Desvendando a computação forense. São Paulo: Novatec, 2010. 3. PEREIRA, Gustavo C.Pericia Forense Computacional, maio, 2007. Disponível em: < http://lucaszc.homelinux.org/fic­pos/forense/pericia_forense.pdf>. Acesso em: 02 de agosto, 2011. 4. MESQUITA, Renata. Al Qaeda admite terrorismo em fotos pornô. Portal Online da Revista Info, maio, 2003. Disponível em: <http://info.abril.com.br/aberto/infonews/052003/13052003­ 4.shl>. Acesso em: 03 de maio, 2011. 5. ZMOGINSKI, Felipe. Abadía usou e­mail cifrado para traficar. Portal Online da Revista Info, março, 2008. Disponível em: < http://info.abril.com.br/aberto/infonews/032008/10032008­3.shl>. Acesso em: 17 de maio, 2011.

Novembro 2011 • segurancadigital.info

15 ARTIGO Segurança Digital

Implementação de drivers em ambiente Windows

O DRIVER FAZ ACONTECER
ESTE ARTIGO APRESENTA UM CONCEITO SOBRE DRIVERS WINDOWS, OS DIFERENTES TIPOS DE DRIVERS E TECNOLOGIAS UTILIZADAS PARA DESENVOLVER E TESTAR PARA PLATAFORMA WINDOWS.
POR: Itamar Pena Nieradka E: Alessandra B Garbelotti Hoffmann E­mail: itamarpn@gmail.com E­mail: alefoz2003@hotmail.com

Abstract. This paper presents a concept of drivers for Windows , the different types of drivers and technologies used to develop and test for the Windows platform. Driver is a software that allows your computer to communicate properly with the hardware or with other I/O devices such as video card, printer, webcam and more. Resumo. Este artigo apresenta um conceito sobre drivers Windows, os diferentes tipos de drivers e tecnologias utilizadas para desenvolver e testar para plataforma Windows. Driver é um software que permite que o computador se comunique corretamente com o hardware ou com outros dispositivos I/O, tais como placa de vídeo, impressora, webcam entre outros. 1. Introdução Vários são os dispositivos utilizados no mercado, e cada vez mais outros estão sendo desenvolvidos, cada um com seu propósito. Este artigo é destinado

a todos os interessados que buscam entender os conceitos fundamentais para implementação de drivers para Windows. Será abordado a criação de um driver, sua instalação em uma máquina virtual de testes e como realizar a sua depuração. Há uma confusão comum para pessoas que não possuem bom conhecimento em informática que é a diferença entre drive e driver, e também poucos possuem o conhecimento de outro tipo de driver que não o de controlar o hardware. Porém um driver pode tanto comunicar com hardware bem com o software. O antivírus é um exemplo de driver de software que é implementado com o File System Filters. Quando alguma aplicação escreve em um arquivo, a escrita passa pelo antivírus antes de chegar ao driver de File System, dando a oportunidade que o antivírus precisa para verificar se o que está sendo gravado contém a assinatura de algum vírus conhecido. Desta forma,
Novembro 2011 • segurancadigital.info

16 ARTIGO Segurança Digital firewalls e filtros de File System são exemplos de drivers que não controlam hardware. 2. O que são Drivers? Drive esta relacionado a um dispositivo I/O , por exemplo um drive de CD/DVD ou um disco rígido , o driver é o software que controla o drive para que o Sistema operacional possa interagir com estes dispositivos. (Russinuvich e Solomon, 2009). Os drivers que controlam dispositivos, são desenvolvidos normalmente pelos fabricantes, sendo específicos para cada modelo. Mas há também drivers que são criados para servirem como filtros de rotinas de leitura e escrita em um disco rígido, como por exemplo os drivers de anti vírus que verificam todas as solicitações de escrita e leitura em um disco rígido procurando por assinaturas de vírus. 3. Tecnologias envolvidas As tecnologias envolvidas neste estudo foram: • VMWare – Máquina Virtual para testes, que atualmente está em sua versão 7.1.4 build­385536 (agosto/2011); • Windows XP Professional – Sistema operacional a ser instalado na VM; • Windbg1 ­ debugger para Microsoft Windows • VisualDDK2 ­ para compilar um driver para windows; que crie uma máquina virtual simulando assim o uso de um outro computador. Com VMWare é possível criar várias máquinas virtuais, cada qual com um sistema operacional diferente e nomear cada máquina virtual é uma forma de poder identificá­las. (Fernando, 2011) Tanto usando dois computadores como usando a máquina virtual é necessário definir quem são as máquinas host e target . Uma máquina host ou hospedeira, serve como o anfitrião para a máquina virtual, e a target é a máquina alvo onde o driver será testado. Para depurar um driver (debug do kernel) é aconselhável que o mesmo não seja no mesmo sistema pois podem ocorrer problemas. 4.1. Máquina host A configuração da máquina host consiste em criar uma porta serial virtual para estabelecer a comunicação. Ao configurar a VM (Virtual machine) será necessário adicionar a porta serial do tipo output named pipe. O Pipe nomeado será o arquivo que permitirá a comunicação entre a máquina host e a máquina target. A especificação de um socket serve como um elo bidirecional de comunicação entre dois programas. A máquina virtual simula a existência de uma outra máquina real e para tanto é necessário este meio de comunicação mesmo que virtual. A opção “this end is a client” deve ser alterada para “This end is a server”, e a próxima opção para “the other end is an application”. O “this end” indica a “esta ponta” ou a um dos lados da comunicação neste caso a host que deve ser o servidor, e o outro lado é uma aplicação, ou seja, a VM. A opção “connect on power” deve estar marcada para que quando iniciado o sistema operacional, a porta seja conectada.

4. Configurando a máquina virtual O desenvolvimento de Driver nem sempre é uma tarefa fácil e para os iniciantes ou mesmo curiosos que possuem experiência em desenvolver aplicações alto nível, pode ser um ambiente pouco familiar pois qualquer descuido por mais simples que seja pode resultar em BSOD (Blue Screen of Death) ou tela azul, prevendo isso duas formas existentes são adotadas. A primeira é o uso de um computador extra conectado na porta serial, mas como nem sempre há disponibilidade de usar um outro computador, uma alternativa é utilizar um software

A configuração final deve ficar como mostra a figura 1.

Novembro 2011 • segurancadigital.info

17 ARTIGO Segurança Digital

Para permitir que o sistema operacional utilize a porta serial em modo polled marque a opção “Yield CPC on poll”. Isto permitirá a porta serial fazer várias verificações por segundo para saber se os dados já chegaram, e o modo de interrupção ativa apenas quando há uma chamada, por exemplo a digitação no teclado ou impressão de dados na tela. Este será o modo Polled, caso não esteja marcada ela usará o modo Interrupção. 4.2. Máquina target Para permitir a depuração de um driver o Windows deve ser inicializado com opção de depuração. Para isto ser possível o arquivo boot.ini ,geralmente oculto, deve ser modificado adicionado ao final do arquivo a linha: multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Debugger" /fastdetect /debugport=COM1 /baudrate=115200 esta linha informa ao sistema operacional que seja

Figure 1. Janela final da configuração da VM

executado em modo debugger usando a porta COM1 já configurada e a informação sobre a taxa de transferência de 115200. Ao reiniciar o Windows, deverão aparecer duas opções de Boot. A implementação será na opção debugger. 5. Configurando o Debugger WinDbg O debugger é um software que faz debug, que significa encontrar e reduzir defeitos num aplicativo de software ou mesmo em hardware. Conforme Strauss (2011), a configuração do Windbg consiste em informar o meio de comunicação criado e a taxa de transferência de informação. O meio de comunicação usado será a porta serial virtual criada na máquina virtual e a taxa de transferência deve ser a mesma configurada no arquivo boot.ini da máquina virtual. Desta forma será possível acompanhar a execução do driver sempre que ele for inicializado, a configuração deverá ser como apresenta a Figura 2.
Novembro 2011 • segurancadigital.info

18 ARTIGO Segurança Digital

Figure 2. Janela de configuração do Windbg Para usuários de Windows Vista ou superior há necessidade de executar o windbg pela seguinte linha de comando: start C:\WinDDK\7600.16385.1\Debuggers\windbg.exe ­b ­k com:pipe,port=\\.\pipe\com_1,resets=0 Esta linha de comando deverá ser digitada em uma janela do MS­DOS. O comando consiste em “start” para iniciar, caminho do windbg, parâmetros ­b e ­k, com informando o pipe e port com o nome da porta serial criada. A conexão entre o Windbg e a máquina virtual somente será possível se a máquina virtual estiver ligada, se o Windows estiver em modo debug,e , se o nome da porta estiver correta.Uma dica é criar um arquivo bat para inicializar o WinDbg de uma forma mais produtiva. 6. Testando primeiro Driver Partindo do conceito que um driver é um software de baixo nível, é possível começar a entender drivers. O exemplo apresentado na figura 3 cria um driver que será usado para estudo.

Figura 3 ­Código fonte do driver criado.
Novembro 2011 • segurancadigital.info

19 29 ARTIGO Segurança Digital No mesmo diretório do fonte, crie um arquivo de nome “makefile” (sem extensão), o código para este documento deve ser: !INCLUDE $(NTMAKEENV)\makefile.def Este arquivo simplesmente implementa o verdadeiro “makefile” que é utilizado para compilar diversos componentes do DDK (Drivers Developement Kit). O arquivo de makefile nunca deve ser editado. Todas as configurações sobre qual o tipo de driver será compilado, quais os fontes irão compor o driver, quais bibliotecas serão utilizadas e outras tantas definições são especificadas no arquivo de nome “sources” que deverá ser criado no mesmo diretório com o seguinte conteúdo: TARGETNAME=ola TARGETPATH=obj TARGETTYPE=DRIVER SOURCES=ola.c Em conjunto com o “makefile.def” do DDK, estes arquivos criam uma série de macros que facilitam muito a criação do arquivo de projeto. O nome do seu binário final é definido pela variável “TARGETNAME”. A lista de fontes que compõem seu driver deve estar na variável “SOURCES” separados por espaço. 7.Debugando o driver Para debugar ou depurar o driver é necessário o WinDDK, ou mais precisamente a versão Checked Build Enviroment que configura o ambiente para gerar drivers com informações de Debug. O comando build serve para compilar o driver. Ao compilar o driver será criado o arquivo executável resultado da compilação dos 3 arquivos diretório, [seudriver].c, makefile e sources. 8. Executando o driver Para executar, o driver criado deverá estar na máquina virtual. O executável é um arquivo .sys que foi criado quando o driver foi compilado. Este arquivo está no diretório “objchk_wxp_x86” que foi criado na pasta do driver. Copie o arquivo .sys do diretório objchk_wxp_x86/i386 para o diretório c:\windows\system32\drivers do Windows na máquina virtual. Logo após a seleção de inicialização do Windows em modo debugger, a execução do WinDbg deverá ser feita de forma que o sistema operacional na Máquina Virtual estará em pausa aguardando instruções do depurador. Desta forma o driver instalado poderá ter sua execução verificada passo a passo pelo depurador. Para adicionar breackpoints no código do driver use o depurador informando o comando bu ola!DriverEntry , fazendo com que um breakpoint seja inserido na função driverentry. Após isso ainda usando o depurador uso o comando “g” para que o sistema operacional em modo debugger continue a execução. Para iniciar o driver instalado é necessário o código net start [nomedodriver] neste momento o depurador para a execução do driver na função "driverentry" permitindo que o desenvolvedor possa verificar passo a passo sua execução (tecla F10). No exemplo quando a execução estiver na linha do comando DbgPrint o mesmo imprime a mensagem codificada na tela. Para descarregar o driver digite net stop ola. O controle volta ao depurador e a palavra “Fim” é impressa, pois o comando stop fez com que a função de callback onDriverUnload fosse executada.
Novembro 2011 • segurancadigital.info

20 ARTIGO Segurança Digital 9. Conclusão Drivers tanto podem ser desenvolvidos para controlar um dispositivo I/O específico de um fabricante, ou ainda para servir de filtro de rotinas de escrita e leitura em um disco rígido. A criação e depuração de um driver requer conhecimentos de lógica, programação em baixo nível além de uso de tecnologias apropriadas que melhoram a produtividade de desenvolvimento.

Referências

Fernando, Roberto. (2011) “Step http://driverentry.com.br/blog/ , agosto .

into

Kernel

(VmWare+WinDbg)”

OSR Online, (2011) “Getting DbgPrint Output To Appear In Vista and Later“ http://www.osronline.com , agosto. Peter G. Viscarola (2002) “Windows NT Device Driver Development (OSR Classic Reprints)”, OSR Press. Russinovich, Mark (2008) “Windows® Internals: Including Windows Server 2008 and Windows Vista (Pro Developer)”, Microsoft,5th edition. Strauss, Rodrigo, (2011)”WinDbg: Debugger http://www.1bit.com.br/content.1bit/weblog/ , agosto. de gente grandeStrauss,

¹NeoAutus­ Avenida Presidente Tancredo Neves, 6731 – Foz do Iguaçu – PR – Brasil ²Curso de Ciência da Computação ­ Centro de Ensino Superior de Foz do Iguaçu – CESUFOZ – Foz do Iguaçu, PR – Brasil

1 Disponível em http://www.windbg.org/ 2 Disponível em http://msdn.microsoft.com/en­us/windows/hardware/gg487428.aspx
Novembro 2011 • segurancadigital.info

21 ARTIGO Segurança Digital

Questões de CISSP
ATUALMENTE A CISSP É UMA DAS CERTIFICAÇÕES MAIS PROCURADAS PELOS PROFISSIONAIS. NO BRASIL, A POPULARIDADE DO EXAME TEM FEITO A (ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO DO ANO.
POR: Cláudio Dodt E­mail: ccdodt@gmail.com Blog: www.claudiododt.wordpress.com br.linkedin.com/pub/cl%C3%A1udio­dodt/5/1a4/723

Questão 01: Buffer overflows são ataques onde códigos maliciosos são inseridos causando uma sobrecarga na área de buffer, estão razoavelmente bem documentados e a maioria dos programadores tomam as devidas precauções quando estão desenvolvendo um novo código. Buffer Overflows costumavam ser um sério problema algum tempo atrás. Entretanto, esse tipo de ataque foi substituído por um novo tipo de ameaça. Qual das opções a seguir é considerada a maior ameaça para aplicações web? a. Vírus de boot b. Server side scripting (SSS) c. Cross­site scripting (XSS) d. Vírus de macro Opção correta: C Ataques do tipo Cross­site scripting (XSS) são atualmente considerados uma ameaça séria em aplicações web. Nesse tipo de ataque o atacante usa vulnerabilidades em um site para injetar códigos maliciosos que podem capturar ou mesmo modificar informações. Uma explicação bem simples pode ser encontrada aqui: http://www.houbysoft.com/papers/xss.php Opções incorretas: a. Vírus de boot são um dos primeiros tipos de vírus conhecido. Esse vírus infecta a parte de inicialização do sistema operacional e costumava afetar bastante os famosos discos 5¼. Hoje em dia já não são uma ameaça tão grande e, obviamente, não são específicos para aplicações web. b. Uma boa pegadinha, pois o nome é parecido com a opção correta. Na verdade Server­side scripting é uma forma, geralmente em JavaScript, de prover conteúdo dinâmico em websites.

Novembro 2011 • segurancadigital.info

22 ARTIGO Segurança Digital d. Vírus de macro não afetam aplicações web especificamente. Segundo a cartilha do cert.br: Um macro é um conjunto de comandos que são armazenados em alguns aplicativos e utilizados para automatizar algumas tarefas repetitivas. Um vírus de macro é escrito de forma a explorar esta facilidade de automatização e é parte de um arquivo que normalmente é manipulado por algum aplicativo que utiliza macros. Questão 02: Um arquivo foi criptografado e armazenado em um servidor seguro de FTP. Um hash MD5 foi criado e também armazenado no mesmo servidor de FTP. Um usuário autorizado conecta no servidor e faz o download de ambos arquivos, entretanto, descobre durante um teste que o hash não é igual ao do arquivo. Neste caso, qual objetivo do sistema de criptografia falhou? a. Integridade b. Confidencialidade c. Autenticidade d. Não­repúdio Opção correta: A Nesse caso a aplicação do princípio da Integridade significa basicamente comprovar que o arquivo ou mensagem não foi modificado, de forma acidental ou proposital, durante a transmissão. Embora criptografia possa ser utilizada para garantir a proteção da confidencialidade, autenticidade ou mesmo não repúdio, nesse caso não se aplicam. Conforme exposto na questão, o usuário estava autorizado, entretanto em nenhum momento tentou abrir o arquivo, apenas checar se o hash do mesmo estava correto. Questão 03: Um analista de sistemas foi chamado para preservar a evidência de um ciber­ataque na empresa. O analista isolou o disco, porém, acidentalmente fez algumas modificações no mesmo. Este fato comprometeu seriamente a evidência e dificultou o caso para a companhia. Quem é o responsável pelas ações tomadas com evidência digital? a. O analista de segurança b. A empresa c. O supervisor do indivíduo manuseando a evidência digital d. O indivíduo manuseando a evidência digital Opção correta: D Um dos princípios gerais sobre evidências de crimes digitais é que o indivíduo que manuseia a evidência é responsável enquanto ela estiver em sua posse. Durante um longo processo, evidências podem passar pelas mãos de diversas pessoas ou mesmo ficar sobre a posse de diferentes organizações. A empresa, a área de segurança, ou mesmo supervisores não podem simplesmente arcar com a responsabilidade de ações de indivíduos, desde que garantam que

Novembro 2011 • segurancadigital.info

23 ARTIGO Segurança Digital tomaram todas as precauções necessárias. Qualquer tipo de análise forense digital deve ser feita em cópias e manter uma cadeia de custódia clara e transparente. Ambos pontos são essenciais para garantir a admissibilidade da evidência como prova em um processo legal. Questão 04: A e B estão se comunicando usando uma sessão TCP quando um atacante captura (hijacks) a sessão usando o Juggernaut. O que um administrador deve fazer para evitar a recorrência desse tipo de ataque? a. o administrador deve implementar um protocolo como, por exemplo, Kerberos/IPSec. b. o administrador deve desencorajar a comunicação entre os usuários. c. o administrador deve implementar um protocolo como, por exemplo, IMAP/ICMP. d. o administrador deve pedir aos usuários para discutir e criar protocolos conhecidos apenas por eles mesmos. Opção correta: A O Kerberos é um protocolo de autenticação para redes, que funciona com base em "bilhetes" que permitem comprovar a identidade das partes envolvidas em uma rede insegura, fornecendo autenticação mútua ­ tanto o usuário quanto o servidor verificam a identidade um do outro. Mensagens do protocolo Kerberos são protegidas contra escuta não autorizada (eavesdropping) e ataques replay. No caso da questão, o administrador deve procurar a implementação de um protocolo como Kerberos/IPSEC para garantir que os dois usuários que estão se comunicando tenham autenticação mútua. Dessa forma, o atacante não será capaz de autenticar como um dos usuários e lançar seu ataque. Por que as outras estão erradas: b. O administrador deve desencorajar a comunicação entre os usuários. <ModoIroniaOn>Claro! Os usuários vão obedecer à recomendação e tudo vai ser uma maravilha! </ModoIroniaOn> Brincadeiras a parte, confiar que seus usuários não vão utilizar um meio de comunicação inseguro é o primeiro passo na estrada para a perdição. Adicionalmente, no mundo real essa comunicação pode ser altamente importante para a operação da empresa e adivinhe .. você tem de garantir a segurança! c. O administrador deve implementar um protocolo como, por exemplo, IMAP/ICMP. O IMAP, assim como o POP, é um dos protocolos mais comumente utilizados para recebimento de mensagens de email. O simples uso do IMAP não garante uma comunicação segura, a não ser quando configurado para usar SSL. Adicionalmente, em momento algum a questão mencionou que a comunicação entre os dois usuários era feita via email. d. O administrador deve pedir aos usuários para discutir e criar protocolos conhecidos apenas por eles mesmos. Ah, a velha e boa segurança por obscuridade. Que tal sermos egoístas e criar um protocolo conhecido apenas por nós mesmos? Podemos até incluir um aperto de mão secreto! Seguro não? #NOT! Usar um protocolo obscuro desenvolvido internamente não te dar nenhuma garantia adicional de segurança e pode deixar várias lacunas abertas.

Novembro 2011 • segurancadigital.info

24 ARTIGO Segurança Digital Questão 05: Este modelo de segurança foi desenvolvido tendo foco principal na integridade da informação e prevenção de fraudes. Ele requer o uso de uma camada de abstração que impede subjects de acessar um objeto diretamente. A camada de abstração garante a proteção do objeto. Qual dos modelos a seguir corresponde a esse tipo de descrição? a. Modelo Clark­Wilson b. Modelo Brewer and Nash c. Modelo Biba d. Modelo Bell­LaPadula Opção correta: A O modelo Clark­Wilson foi desenvolvido como uma extensão ao modelo de Biba. Conceitos no modelo giram em torno da impossibilidade de acessar diretamente e/ou manipular objetos para evitar corrupção de dados. Esse é o tipo de questão que eu não gosto. Não existe nenhum cenário, não mede a capacidade de decisão, análise, nada! É puramente uma questão de saber (decorar?) o tema abordado, pronto e simples. Então por que coloquei essa questão aqui? Simples! Na prova oficial infelizmente você não tem como escapar desse tipo de questão. Sua melhor alternativa é procurar entender todos os conceitos e termos dentro do CBK. Questão 06: Qual dos itens a seguir é um tipo de camuflagem urbana que dificulta o ataque a uma companhia? a. o uso de barreiras físicas como portas, vigilância armada e autenticação. b. usar uma logomarca falsa. c. não exibir ou usar uma logomarca pequena d. obrigatoriedade de registro/autenticação antes de entrar na área interna Opção correta: C Usar uma logomarca pequena ou mesmo deixar a fachada sem identificação serve como um tipo de camuflagem urbana. Isso torna mais difícil para os atacantes distinguir seu alvo. Por que as outras estão erradas: O uso de barreiras físicas, vigilância, controle de acesso e registro é muito importante para a proteção física, mas não são camuflagens. Uso de placas falsas é proibido por lei na maioria das jurisdições, a menos que você trabalhe na Universal Exports e se chame Mr. Bond, não é muito recomendável.

Novembro 2011 • segurancadigital.info

25 ARTIGO Segurança Digital

Segurança da informação

VOCÊ SABE O QUE É?
MUITA GENTE JÁ OUVIU ESTE NOME, MAS POUCOS SABEM O QUE ELE SIGNIFICA, E MENOS AINDA SABEM QUAL SUA IMPORTÂNCIA NO MUNDO GLOBALIZADO EM QUE VIVEMOS. ESTE É UM TEMA QUE DEVE SER FORTEMENTE TRATADO, PRINCIPALMENTE NO ÂMBITO EMPRESARIAL.

POR: Fábio Jânio Lima Ferreira E­mail: fabiojanio@segurancadigital.info Twitter: @_SDinfo

A segurança da informação é algo que deve ser levado muito a sério. Com a popularização de dispositivos portáteis, muitas organizações e empresas estão desenvolvendo projetos e trabalhos potencialmente sigilosos nestes dispositivos, que muitas vezes se mostram vulneráveis a algum tipo de ataque ou espionagem. Pesquisas revelam que dispositivos portáteis representam um grave risco de segurança para projetos sigilosos, já que estes podem ser furtados ou violados de alguma forma. Durante as primeiras décadas de sua existência, as redes de computadores foram usadas principalmente por pesquisadores e universitários, para enviar mensagens de correio eletrônico e realizar o compartilhamento de componentes (equipamentos) em rede, reduzindo gastos dentro da organização. Sob essas condições, a segurança

nunca precisou de maiores cuidados. Mas atualmente, como milhões de cidadãos comuns estão usando as redes para efetuar operações bancárias, fazer compras e declarar seus impostos, a segurança está se mostrando um obstáculo a ser equiparado e combatido. A segurança é um assunto abrangente e inclui inúmeros tipos de pecados. Em sua forma mais simples, a segurança se preocupa em garantir que pessoas mal­ intencionadas leiam ou modifiquem mensagens enviadas a outros destinatários. Outra preocupação da segurança se volta para as pessoas que tentam ter acesso a serviços remotos, aos quais elas não estão autorizadas a usar. A segurança da informação tem que antecipar procedimentos que possam por ventura tentar ir contra a política de segurança da organização, garantindo com isso o
Novembro 2011 • segurancadigital.info

26 ARTIGO Segurança Digital sigilo da informação e integridade dos dados. A maior parte dos problemas de segurança são intencionalmente causadas por pessoas que tentam obter algum benefício ou prejudicar alguém. Dentro das empresas um funcionário insatisfeito pode muito bem sabotar um projeto, ou então vender informações para a concorrência, a segurança da informação tem que prever esta situação e adotar medidas para minimizar os riscos. Ao implementar um sistema de segurança em uma organização deve­se primeiro responder quatro questões, são elas: • Proteger O QUE? • Proteger DE QUEM? • Proteger A QUE CUSTOS? • Proteger COM QUE RISCOS? de desenvolvimentos especiais dos Estados Unidos”. Pois é, essa fortaleza já foi invadida, e não foi só uma vez não. Não importa se é um computador pessoal, ou um mega computador protegido pelo mais sofisticado e caro sistema de segurança já desenvolvido, qualquer computador conectado a internet é um alvo em potencial. Mas se você “vacilar” se torna um alvo ainda mais fácil. Vamos simplificar este entendimento. Imagine que você saia de casa deixe a porta e o portão aberto, será que alguém irá “roubar sua casa”? Agora imagine que você possui um computador que não dispõe de nenhuma segurança virtual, será que alguém irá invadi­lo? Definição de política de segurança Política de segurança da informação é uma declaração ampla e direta dos objetivos e intenções da organização com relação à conexão e ao seu uso. Normalmente, ela deve especificar o seguinte: • Os serviços que podem ser usados; • Por quem determinado serviço pode ser usado; • Quem autoriza as conexões; • Quem é responsável pela segurança; • As normas, diretrizes e práticas a serem adotadas; • As responsabilidades e obrigações dos usuários. Além de tudo isso é extremamente importante decidir quem será o responsável pela segurança dentro da organização. Deixar bem claro qual será o papel de cada funcionário e integrante desta organização. A segurança da informação é como uma corrente, esta pode ser forte, muito forte, mas provavelmente possui um elo fraco e este elo com certeza será explorado mais cedo ou mais tarde, então se faz necessário prever está situação. Já que estamos falando de segurança da

Três pontos a serem fortemente tratados: • Rever a política de segurança para atender a quaisquer mudanças nos níveis de risco; • Implementar os controles de segurança que atendam aos requisitos da política implantada; • Monitorar e manter a eficácia dos controles de segurança. No âmbito do Governo Federal, a questão da segurança da informação está recebendo um tratamento destacado e permanente, com a "Política de Segurança da Informação nos Órgãos do Poder Executivo Federal – PSIPE", conforme o Decreto nº 3.505, de 13 de junho de 2000. Embora medidas sejam tomadas no intuito de promover um ambiente seguro, a questão será sempre muito mais complexa do que parece. Se você acha que apenas pessoas normais sofrem ataques virtuais, irá mudar de ideia até o final deste artigo. Quem nunca ouviu falar do Pentágono? A “fortaleza

Novembro 2011 • segurancadigital.info

27 ARTIGO Segurança Digital informação, nada mais justo do que falar sobre os quatro pilares fundamentais da segurança. Segue abaixo os princípios da segurança da informação: Disponibilidade: Considera­se este princípio quando um sistema, ou ativo de informação precisa estar disponível para satisfazer os seus requisitos ou evitar perdas financeiras. Integridade: Considera­se este princípio quando um sistema, ou ativo de informação, contém informação que deve ser protegida contra modificações não autorizadas, imprevistas ou até mesmo não intencionais, incluindo ainda mecanismos que permitam a detecção de tais tipos de alteração e recuperação de informações (backup). Confidencialidade: Considera­se este princípio quando um sistema, ou ativo de informação, necessita de proteção contra a divulgação não autorizada dos seus bens de informação. “O quarto pilar da segurança” Autenticidade: Considera­se este princípio para atestar, com exatidão, o originador do dado ou informação, autorizando ou não a continuidade do processo. Este quarto principio em muitos casos não é exibido, pois pode ser considerado um derivado dos três pilares principais (Disponibilidade, Integridade e Confidencialidade).

Referência: http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_in forma%C3%A7%C3%A3o

Novembro 2011 • segurancadigital.info

28

LIVRO EM DESTAQUE

Desvendando a Computação Forense
Por Marcio Pereira Machado e Pedro Monteiro da Silva Eleutério "Desvendando a Computação Forense", uma das obras nacionais pioneiras na área de Computação Forense, é uma leitura obrigatória para estudantes, professores e profissionais de computação que querem se aventurar nesse importante campo de estudo, tão propagado nos dias de hoje. Esta obra também é um guia completo para que os aplicadores do Direito, como juízes, delegados, promotores e advogados, entendam de que forma a Computação Forense pode auxiliar na rápida solução de delitos, contribuindo para processos judiciais mais céleres e eficientes.

Links http://www.novatec.com.br/livros/computacaoforense http://twitter.com/pmseleuterio
Novembro 2011 • segurancadigital.info

29

Links: http://www.agendati.com.br http://twitter.com/agendati http://www.facebook.com/agendati agendati@fedorowicz.com.br Perfil Responsável: Eduardo Fedorowicz http://twitter.com/fedorowicz
Novembro 2011 • segurancadigital.info

30

31 ARTIGO Segurança Digital

Mobilidade: O novo desafio da Segurança da informação

VOCÊ ESTÁ PREPARADO?
POR: Luiz Felipe Ferreira Twitter: @lfferreiras E­mail: lfferreira@gmail.com Site: http://br.linkedin.com/in/luizfelipeferreira

Mobilidade: O novo desafio da Segurança da Informação: Você está preparado? Não é de agora que os dispositivos móveis tem ganho a atenção da mídia e principalmente dos usuários. Cada vez menores e com mais recursos e velocidade de processamento, eles tem se tornado uma opção vantajosa para ter acesso a informações digitais. A tendência de crescimento é exponencial e a possibilidade de ter acesso ao ambiente e as informações empresariais faz com que muitas pessoas comecem a tê­los como “computador” principal em detrimento do desktops e notebooks. Um pouco de história Em 1956, a Ericsson desenvolveu o primeiro celular, que pesava cerca de 40 quilos. Mas, a primeira ligação só foi realizada anos depois, em 1973 pela Motorola e seu modelo Motorola DynaTAC 8000X, pesando cerca de um quilo. Nos anos seguintes, iniciaram­se as operações de telefonia celular no

Japão e Suécia e mais tarde nos Estados Unidos. Nos anos 90, deu­se início a segunda geração de celulares, que durou até a virada de milênio e trouxe muitas novidades como o SMS, os ringtones, os displays coloridos, mensagens multimídia (MMS), câmeras embutidas, mp3 players. Nessa altura, eles se tornaram “inteligentes”, trazendo um sistema operacional embutido e começaram a ser conhecidos como smartphones. Em 2007, a Apple lança o iPhone, que alterou os rumos da indústria de telefonia, inclusive ganhando espaço no mundo corporativo, onde o domínio era do Blackberry. No ano seguinte, o Google lança o Android, seu sistema operacional para celulares que aos poucos conquista uma fatia importado de mercado, iniciando uma guerra para ganhar a preferência dos usuários. Anos depois, em 2010, Steve Jobs surpreende mais uma vez e lança o iPad, um tablet que torna­se um sucesso instantâneo e vende 3 milhões de unidades em 80 dias. Mais uma vez, a Apple dita os rumos da indústria, e tal como o iPhone, os consumidores adquirem o produto e também querer ter acesso as
Novembro 2011 • segurancadigital.info

32 ARTIGO Segurança Digital informações corporativas. Ok, mas o que isso tem a ver com Segurança da Informação? Na mira dos cybercriminosos Um recente relatório da Symantec analisou os dois principais sistemas operacionais usados em plataformas móveis (iOS e Android) e constatou que elas são mais seguras que as tradicionais, baseadas em desktops, mas isso não impede que a cada dia sejam criados mais softwares maliciosos para esse crescente público alvo. A pesquisa X­Force 2011 Mid­Year Trend and Risk Report“ da IBM informa que o número de exploits focados em sistemas operacionais móveis e as vulnerabilidades crescerá exponencialmente em 2011. Os dados dos usuários (senhas e nomes) não são protegidos corretamente, normalmente são armazenados em formato texto. Poucos o fazem com senhas. Você precisa saber que estamos diante de um novo (talvez o pior) desafio para a Segurança da Informação, já que agora a informação não está confinada no perímetro corporativo, mas pode estar em qualquer lugar do mundo. Basta um simples tweet, um retrato tirado por um smartphone ou um simples email para que aquela informação confidencial da sua empresa esteja na internet disponível para qualquer um. BYOD (Bring Your Own Device) Traga o seu próprio dispositivo. Talvez esse seja o pior pesadelo para a Segurança da Informação. Dispositivos muitas vezes que não foram homologados acessam a rede sem controle nenhum. Isso já acontece nos dias atuais com uma frequência absurda. A TI (e a Segurança da Informação) precisa aceitar o fato que os funcionários querem (e vão) usar dispositivos móveis (smartphones, tablets) pessoais para acessar os dados do trabalho. Com isso, eles têm o controle que não teriam caso o fizessem com os tradicionais desktops e notebooks. Não precisam se preocupar com controles “chatos” de segurança. Eles têm a liberdade que sempre sonharam. É aquele diretor que quer manter o status ou até mesmo o estagiário que comprou o aparelho em várias prestações. A IDC prevê que 2014 o uso de smartphones adquiridos pelos funcionários irá dobrar. Não há como lutar contra isso, é um processo irreversível. É melhor permitir o uso de forma segura do que tentar proibi­lo e assumir as consequências do risco. Será uma luta gerenciar a segurança da sua rede neste novo cenário. É necessária uma solução de gestão que ajude a garantir a segurança dos dados corporativos e, além disso, permita gerir os custos sem impactar a infraestrutura. É uma nova realidade. Você já está preparado? Planejamento e Ação Mesmo que a sua empresa já tenha uma política de segurança estabelecida, será que ela está adequada a essa nova realidade? Você já sabe o que será suportado? 1. Adaptar a política de segurança a esse novo ambiente móvel. Você deve adicionar tópicos referentes a dispositivos móveis onde vários itens são importantíssimos, tais como: • Em caso de perda ou roubo do dispositivo, o suporte deve ser comunicado imediatamente. • O uso obrigatório de criptografia. • As responsabilidades e obrigações dos usuários • Punições, em caso de não cumprimento das normas estabelecidas. 2. Decidir que tipo de tecnologia será adotada e suportada para gerenciar dispositivos e aplicar as políticas. A variedade de dispositivos disponíveis no mercado é muito grande. O que fazer quando aparecem várias demandas de plataformas completamente diferentes? É praticamente impossível conseguir dar conta do suporte de todos esses dispositivos, portanto faz­se necessário de início determinar o que será suportado (plataforma (s), versão dos dispositivos, etc).
Novembro 2011 • segurancadigital.info

33 ARTIGO Segurança Digital Normalmente as empresas somente possuem o suporte para BlackBerry usando o BES (BlackBerry Enterprise Server), mas isso tem mudado nos últimos anos. Considere adquirir uma solução de MDM (Mobile Device Management). Há várias no mercado que suportam os dispositivos Apple e Android também. Os MDM’s possuem muitas funções de segurança interessantes, como a implementação de senha forte, histórico e expiração de senha, time out por inatividade, lock do aparelho após um número determinado de tentativas inválidas, wipe remoto se o dispositivo foi roubado ou comprometido além de criptografia se for suportado. Tudo isso deve ser usado, pois qual será o dano caso um iPhone de um diretor for perdido ou o smartphone Android de um gerente for roubado ? 3. Estabelecer e aplicar baselines de segurança Caso você adquira um MDM (ou não), é importante criar uma baseline de segurança, com configurações (como as citadas no item anterior) para garantir que os dispositivos móveis adquiridos possuam o mínimo de segurança antes de serem entregues aos funcionários. Educação e treinamento para os usuários: É importante mostrar aos usuários que embora o dispositivo usado para acesso à internet seja outro, os riscos são os mesmos, portanto sempre é importante lembrar­se de dicas básicas, que além de estarem inscritas na política de segurança também podem ser comunicadas através de treinamentos, campanhas ou informativos: 1. Atualize o sistema operacional A versão mais recente protege os dispositivos de falhas de segurança, além de comumente trazer melhorias de desempenho e estabilidade. Portanto, atualizar jamais deve ser esquecido ou negligenciado. 2. Solução anti­ roubo gratuita Para dispositivos que usam o iOS, existe o FindMyiPhone que é gratuito, bastando usar o seu ID da Apple Store. É um ótimo recurso caso você seja roubado. Com ele, é possível bloquear ou apagar remotamente os dados. Caso você use o Android, há o Where’s My Droid, que possui recursos semelhantes. 3. Antivírus Tal como em desktops e notebooks, é necessário adquirir uma solução de antivírus. Várias empresas do segmento como a AVG e Norton já possuem produtos disponíveis para as corporações. 4. Não clicar em links desconhecidos Os usuários precisam estar alertas ao “phishing” onde eles são induzidos (seja por email, ou pelo Twitter e Facebook) a clicar em links, que farão o redirecionamento para sites maliciosos visando a coleta de dados importantes como cartões de crédito ou logins, por exemplo. 5. Cuidado com download de aplicativos A quantidade de aplicativos disponíveis para dispositivos móveis não para de crescer. É importante educar os usuários para que só façam os downloads em lojas de aplicativos reconhecidas pelo mercado. Hoje, é normal aplicativos maliciosos que parecem ser legítimos, especialmente aqueles que alegam ser de “segurança”. 6. Evitar o acesso ao internet banking em redes públicas Alerte que quando o usuário estiver usando uma conexão wi­fi gratuita, onde normalmente nenhuma segurança é configurada, deve evitar o acesso ao internet banking ou outros sites que necessitem de informações e senhas de contas bancárias. Também não se pode esquecer dos cuidados com sites que solicitem com dados pessoais.

Novembro 2011 • segurancadigital.info

34 DICA Segurança Digital

KeePass

NÃO PRECISA DECORAR TUDO
VOCÊ NÃO PRECISA DECORAR TUDO, DEIXE ISSO POR CONTA DO KEEPASS UMA ÓTIMA SOLUÇÃO DISPONÍVEL GRATUITAMENTE PARA DOWNLOAD.
POR: Johnantan Pereira Twitter: @johnantan Blog: www.johnantan.com E­mail: johnantan.pereira@gmail.com

O que é o KeePass?
Atualmente você precisa lembrar várias senhas, para acessar o seu computador, conta de e­mail, FTP da sua homepage, acesso a sua conta bancária e etc… A lista é interminável. Além disso, você deve usar senhas diferentes e complexas para cada conta. Porque se você utilizar apenas uma senha por toda parte e se alguém descobrir você terá sérios problemas. O ladrão teria acesso a simplesmente tudo, desde uma simples conta de email até o acesso online as contas bancárias.

Novembro 2011 • segurancadigital.info

35 DICA Segurança Digital

KeePass é um gerenciador de senhas, que ajuda a guardar suas senhas de forma segura. Você pode colocar todas as suas senhas em um banco de dados, que está trancada com uma chave ou um arquivo de chave. Assim, você só tem que lembrar de uma única senha ou selecione o arquivo de chave para destravar o banco de dados inteiro. As bases de dados são encriptadas, utilizando os algoritmos mais seguros de criptografia, conhecidos atualmente (AES e Twofish).

Novembro 2011 • segurancadigital.info

36 DICA Segurança Digital KeePass é um software livre e de código aberto. Dessa forma você pode dar uma olhada no código fonte e verificar se os algoritmos de criptografias estão sendo executados corretamente.

Link: http://keepass.info Download: http://keepass.info/download.html

Novembro 2011 • segurancadigital.info

37 ARTIGO Segurança Digital

Quando o vilão está dentro de casa

REFÉM OU VÍTIMA?
POR: Cláudio Dodt E­mail: ccdodt@gmail.com Blog: www.claudiododt.wordpress.com br.linkedin.com/pub/cl%C3%A1udio­dodt/5/1a4/723

Quando o vilão está dentro de casa: 40% dos colaboradores de TI admitem poder causar danos severos na infraestrutura
Uma pesquisa recente da Venafi apontou um sério risco que, infelizmente, é cada vez mais comum em organizações de qualquer vertical ou porte: Uma boa parcela (estimada em 40%) dos colaboradores de TI admite poder causar sérios problemas, leia­se caos completo, nos serviços/infraestrutura da organização.

Novembro 2011 • segurancadigital.info

38 ARTIGO Segurança Digital O caso específico abordado pela pesquisa r–fl–t– dados sobr– falta d– g–r–nciamento de chaves de criptografia associada a lacunas, controles internos e pouca segregação de funções. Entretanto, existem incontáveis cenários onde um único colaborador pode tornar a organização sua refém e indiscutivelmente causar prejuízos na casa dos milhões, como em um caso ocorrido na prefeitura de San Francisco em 2008 que teve sua WAN seqüestrada por 12 dias (leia mais).

Esse assunto não é nenhuma novidade e já foi amplamente discutido. O problema é que em boa parte das empresas com que já tive contato vejo pouca ou nenhuma iniciativa para contornar essa situação, chegando ao ponto onde em alguns casos é tido como algo “normal”. Se você vivencia este tipo de problema em sua organização, existem algumas práticas simples que podem ajudar bastante: 1. Uma boa política de segurança da informação é essencial: Se seus colaboradores estão conscientes das implicações legais de suas ações, eles certamente vão pensar duas vezes antes de cometer um ilícito. No pior cenário, se um incidente severo ocorrer você vai estar protegido e legalmente preparado para tomar as ações cabíveis. 2. Segregação de funções (SoD): Provavelmente você sabe que SoD, é um método para reduzir o risco de que uma única pessoa possa acessar, modificar ou usar serviços sem a devida autorização ou detecção. O que talvez você não saiba é que, de acordo com o Public Company Accounting Oversight Board, em 83% das organizações a causa de fragilidades materiais estava diretamente relacionada com ausência de Segregação de Funções. Uma boa matriz de segregação (ver exemplo) associada à rotação de cargos e funções pode ajudar a evitar incidentes e apoiar na distribuição conhecimento. 3. Documentação, documentação e documentação: Manter uma documentação atualizada é essencial para proteger o conhecimento institucional. Infelizmente, existe uma notória resistência por parte da maioria dos profissionais de TI, que acabam deixando algo tão importante completamente de lado. Cabe aos gestores entender a importância e exigir que uma parcela do tempo da equipe seja dedicada exclusivamente a elaboração de documentação e procedimentos operacionais.
Novembro 2011 • segurancadigital.info

39 ARTIGO Segurança Digital 4. Use a tecnologia a seu favor, mas não se torne dependente: Desde gerenciamento de chaves de criptografia até a sistemas de auditoria e análise do comportamento, é possível dizer que existe uma solução tecnológica para quase tudo. Saber aplicar a tecnologia a seu favor é reconhecer que não podemos ser completamente dependentes. Busque soluções completas que englobem não apenas um produto, mas procedimentos, normas e até mesmo pessoas necessárias para criar uma solução eficiente. 5. TTTO (Talk to the Ogre): Muitos dos profissionais que gostam de se sentir insubstituíveis o fazem por uma nítida insegurança. Manter um canal de diálogo aberto e, em casos extremos, até mesmo um acompanhamento psicológico, pode ajudar e muito na redução de riscos e incidentes. Um bom gestor consegue perceber um problema de relacionamento logo no início, onde sua solução é razoavelmente simples. Um mau gestor pode fechar os olhos e até mesmo ser conivente com a situação. Nesse último caso, certamente vale a máxima: Quem planta vento, colhe tempestade!

A lista acima certamente não é completa, mas espero que essas dicas práticas ajudem a lidar com os Shreks mal entendidos que residem dentro da TI.

__ Links e referências: http://drupal.sfexaminer.com/local/crime/2011/05/judge­orders­former­city­worker­terry­childs­pay­san­ francisco­15m http://www.net­security.org/secworld.php?id=11062 http://www.itilnapratica.com.br/o­conhecimento­e­meu­e­ninguem­tasca/ http://pcaobus.org/Pages/default.aspx http://www.isaca.org/Images/journal/jrnlv4­07­common­ground­1.jpg

Novembro 2011 • segurancadigital.info

40 ARTIGO Segurança Digital

Redes Sociais e os limites à Liberdade de Expressão

TUDO TEM LIMITES
A INTERNET CONFIGURA IMPORTANTE INSTRUMENTO DE ACESSO À INFORMAÇÃO E À CULTURA, MAS TAMBÉM VEM SENDO UTILIZADA COMO FERRAMENTA DE PROPAGAÇÃO DE AGRESSÕES E COMETIMENTO DE CRIMES. O QUE ALGUMAS PESSOAS PARECEM ESQUECER É QUE NO AMBIENTE VIRTUAL TAMBÉM HÁ LEI.

POR: Lígia Barroso Twitter: @ligiaabarroso

Com a democratização do acesso à grande rede e o surgimento das redes sociais, todas as pessoas podem ter os seus perfis online e publicar suas ideias, comentar o que se passa para si, entre amigos, ou irrestritamente ao público. Ocorre que a publicação de certas ideias e comentários vem gerando cada vez mais problemas, a partir do momento em que a liberdade de expressão é distorcida em comentários racistas, preconceituosos e ofensivos. Com a recente confusão ocorrida na prova do ENEM, surgiram na rede comentários ofensivos direcionados aos nordestinos, e isso abre um espaço interessante para refletirmos até que ponto as ferramentas que nos são proporcionadas com a evolução tecnológica podem ser utilizadas irrestritamente.
Novembro 2011 • segurancadigital.info

41 ARTIGO Segurança Digital

É necessário que os usuários das redes sociais estejam atentos ao fato de que com a utilização dos recursos tecnológicos, o alcance das ofensas proferidas via internet é impensavelmente maior. E nesse sentido, externar opiniões de cunho preconceituoso, discriminatório ou calunioso configura crime, disposto nos arts. 138, 139 e 140 do Código Penal Brasileiro. No caso das ofensas proferidas que consistam na utilização de elementos de raça, cor, etnia, religião, origem ou a condição de pessoa idosa ou portadora de deficiência, há a configuração da chamada Injúria Qualificada, crime previsto no § 3º do Art. 140 do Código Penal Brasileiro e que comporta tratamento mais rígido quanto à sua prática. Injúria Art. 140 ­ Injuriar alguém, ofendendo­lhe a dignidade ou o decoro: § 3º Se a injúria consiste na utilização de elementos referentes a raça, cor, etnia, religião, origem ou a condição de pessoa idosa ou portadora de deficiência Pena ­ reclusão de um a três anos e multa.

O crime de Injúria Qualificada tem pena prevista de reclusão de um a três anos e multa. A pena de reclusão abrange o regime prisional fechado, enquanto que nas outras modalidades de crimes contra a honra, a pena prevista é a detenção, em que fica descartado o regime fechado. Não se admite a utilização de argumentos tais como a liberdade de expressão para justificar tais práticas, uma vez que a Constituição Federal protege a dignidade da pessoa humana e dispõe que nenhuma lesão ou ameaça a direito poderá ser afastada da apreciação do judiciário. Diante de tal panorama, observa­se que o Brasil possui, em seu ordenamento jurídico, estrutura para a punição de crimes contra a honra cometidos através da internet, podendo as vítimas de tais delitos recorrer ao Judiciário para dirimir tais questões. Fonte: http://ne10.uol.com.br/canal/vestibular­ 2012/noticia/2011/10/28/apos­vazamento­do­enem­ 2011­nordestinos­sao­alvo­de­ofensas­nas­redes­ sociais­306684.php

Novembro 2011 • segurancadigital.info

42

COLUNA DO LEITOR

EMAILS, SUGESTÕES E COMENTÁRIOS
Esta seção foi criada para que possamos compartilhar com você leitor, o que andam falando da gente por aí... Contribua para com este projeto (contato@segurancadigital.info). Hercules Pessoal gostei muito do material. Curso Analise e Desenvolvimento de Sistemas e Pos Graduando em Redes de Computadores com Enfase em Seguraça.. Esse material vem somar com o conhecimento que estou adquirindo.. Parabens. Luis Isique Gostaria de parabenizá­los pelo trabalho da revista. Já está como indicação no meu site, abraços daniel cordeiro Parabenizo a aquipe e os colaboradores pelo exelente trabalho. espero que continui assim... Welton Vaz de Souza Eu quero agradecer pela excelente iniciativa, era o que muitos de nos trabalhadores do TI precisava. Valeu a pena, cada byte baixado. Lex Aleksandre Parabenizo a todos pela excelente iniciativa. Votos de que alcancem sucesso! Lex Aleksandre Parabenizo a todos pela excelente iniciativa. Votos de que alcancem sucesso!
Novembro 2011 • segurancadigital.info

Davi Rodrigues Ficou muito boa a capa da revista, gostei desse tabuleiro de xadrez na capa, ficou show...! Rubem Na espera...visual ficou show de bola! @hostdimebr Baixe já (gratuitamente) a versão de Setembro/11 da Revista Segurança Digital: bit.ly/mJSHHK via @_SegDigital @jedidomal Caraca, eu pedi um artigo pro @_SegDigital e publicaram mesmo.

@yuridiogenes
A Revista @_SegDigital de Setembro traz o livro de Security+ (www.securityplusbr.org) como destaque. Obrigado a tds da Revista pelo apoio. @kerlei Boa leitura! RT @4LinuxBR Lançada 2ª edição da Revista Segurança Digital @_SegDigital. Acesse http://va.mu/HFjp e realize seu download.

@4LinuxBR
Lançada 2ª edição da Revista Segurança Digital @_SegDigital. Acesse va.mu/HFjp e realize seu download.

43

NOTÍCIAS
especialistas o tablet em questão tem um preço de fabricação de 2 dólares mais caro do que o preço de venda.

Android perto do topo
O anúncio foi feito pela própria Google, que indica que atingiu os 200 milhões de ativações do seu sistema operativo Android, um resultado que o torna cada vez mais perto da Apple, que em Outubro, quando disponibilizou a venda do iPhone 4S, tinha chegado aos 250 milhões de iOS activados.

Intel apresenta teraflops

co­ processador

de

1

Lançado Fedora 16
A versão estável do Fedora 16, codinome "Verne", se encontra disponível para download. Ele inclui os ambientes GNOME 3.2 e KDE 4.7, Libre Office 3.4 e kernel 3.1. Para mais informações acesse: http://fedoraproject.org/.

A Intel apresentou o seu Knights Corner, um coprocessador que permite alcançar a marca de 1 teraflops ­ 1 trilhão de operações de ponto flutuante por segundo. O processador em questão possui 50 núcleos e transferência de dados de 32 gigabytes por segundo.

Movimento Occupy Flash que destronar o player da Adobe
Inspirados no movimento Occupy Wall Street, no qual protestantes invadiram as ruas de Nova York para se posicionar contra a corrupção e a desigualdade, um grupo de desenvolvedores de sites e aplicativos criou o Occupy Flash. O objetivo é acabar com o uso da tecnologia da Adobe, forçando a empresa a investir de vez na linguagem HTML5. Leia mais: http://migre.me/6c3kd

Hack'n rio
O Hack'n Rio é uma iniciativa da Comunidade de Software Livre do Rio de Janeiro, conhecida como SL­ RJ em conjunto com suas comunidades amigas (http://softwarelivre­rj.org/comunidades), que tem como apoio jurídico a Associação Libre de Tecnologias Abertas (ALTA). O evento deste ano acontecerá nos dias 02/12 a 03/12. Saiba mais: http://hacknrio.org/apresentacao

Híbrido de notebook e tablet da HP chega em 2012
O HP Pavillion dm3 tem design ultrafino com 18 mm de espessura, bateria com duração de até 9,5 horas e pesa 1,49 kg. O ultrabook da HP consegue iniciar o Windows em 25,1 segundos, e retorna da hibernação em apenas 4 segundos. Essa máquina é equipada com processador Core i5 de 1,6 GHz, 4 GB de RAM, placa de vídeo Intel HD Series e disco rígido com 128 GB de capacidade. O teclado tem iluminação de fundo para trabalhar em ambientes de baixa luminosidade.

Novo Android não terá flash
O Adobe Flash Player será eliminado do Android. A Google confirmou que a próxima versão do sistema operacional, a Ice Cream Sandwich, não virá com o plugin do Flash instalado. Sendo assim à "bola da vez" fica por conta do HTML 5 que promete muitas novidades.

Kindle Fire
O novo produto da gigante de varejo online Amazon, o Kindle Fire, um dos tablet considerado o mais barato do mercado, parece estar deixando essa gigante com prejuízos. Segundo

Quer contribuir com esta seção? Envie sua notícia para nossa equipe!
Novembro 2011 • segurancadigital.info

44 PARCERIA Segurança Digital

PARCEIROS

Venha fazer parte dos nossos parceiros, que apoiam e contribuem com o Projeto Segurança Digital.
Novembro 2011 • segurancadigital.info

45 PARCERIA KRYPTUS E Segurança Digital

Desenvolvemos soluções líderes em segurança...
A KRYPTUS é uma empresa 100% brasileira, focada em pesquisa, desenvolvimento, integração e fabricação de hardware e software seguros para aplicações críticas e soluções de Segurança da Informação. É voltada, principalmente, para clientes que procuram soluções para problemas onde alto nível de segurança e domínio tecnológico são fatores fundamentais. Fundada em 2003, na cidade de Campinas, um dos principais polos tecnológicos do Estado de São Paulo, a KRYPTUS desenvolve, integra e implanta uma gama de soluções de hardware, firmware e software para clientes Estatais e Privados variados, incluindo desde semicondutores até sistemas complexos de gestão de processos com certificação digital. Conta hoje com um corpo técnico de mais de 20 engenheiros e pela proximidade física e de formação, mantém um vínculo muito forte com o Instituto de Computação (IC) e a Faculdade de Engenharia Elétrica e de Computação (FEEC) da Universidade Estadual de Campinas (UNICAMP), mantendo em seu quadro de funcionários: 2 doutorandos, 3 mestres e 4 mestrandos pela mesma instituição. A KRYPTUS foi a pioneira na área de semicondutores para aplicações criptográficas, ao desenvolver e introduzir o primeiro processador acelerador AES do mercado brasileiro, e é também considerada líder no mercado brasileiro de Hardware Security Modules (HSMs), tendo o seu volume de vendas duas vezes maior que a segunda colocada (a

americana Safenet). Recentemente, o ASI­ HSM foi o primeiro HSM a ser homologado pelo ITI no seu nível máximo de segurança (MCT7 NSH3), promovendo um passo importante na indústria de hardware criptográfico brasileira. No âmbito governamental, soluções KRYPTUS protegem sistemas, dados e comunicações tão críticas como a Infraestrutura de Chaves Públicas Brasileira (ICP­Brasil), a Urna Eletrônica Brasileira e Comunicações Governamentais.

Na Eleição Geral Brasileira de 2010, mais de 200.000 Urnas Eletrônicas Brasileiras com a arquitetura T­DRE, desenvolvida pela KRYPTUS, entraram em operação, garantindo altos níveis de segurança, minimização riscos de fraude e total e completo domínio tecnológico do Tribunal Superior Eleitoral, a Autoridade Eleitoral Brasileira. A solução T­ DRE desenvolvida pela KRYPTUS tem caráter inovador a nível mundial, sendo assim reconhecida na prestigiada conferência de segurança ACSAC 2010.

Conheça alguns dos clientes da KRYPTUS: Ministério das Relações Exteriores, Ministério da Defesa, Exército Brasileiro, Tribunal Supeior Eleitoral, Receita Federal, Polícia Militar do Estado de São Paulo, Lucent, Itautec, e outros. Acesse o Site: http://www.kryptus.com
Novembro 2011 • segurancadigital.info

46 PARCERIA 4Linux E Segurança Digital

Linux, sinônimo de liberdade...
Durante toda a minha vida fui usuário de sistema Windows, primeiro utilizei o Windows 98, depois XP, Vista e por ultimo o Windows 7. Sempre me senti como um pássaro enjaulado, preso aos termos de “contrato/licença” da Microsoft. O que quero disser é que no Windows não tinha liberdade para fazer as modificações que sempre tive vontade, mexer nos arquivos internos do sistema, fuçar para entender como o sistema funcionava, etc. Por algumas vezes me aventurei a utilizar o GNU/Linux, este por sua vez me agradou bastante. Utilizei distribuições como, Debian, Fedora, Ubuntu, entre outras. Mas me via muito preso ao Windows, tinha a sensação que nunca iria conseguir migrar para outro sistema. Mas tudo isso mudou quando terminei de fazer o curso de Linux Essentials na 4Linux. Aquela visão de que nunca conseguiria largar o Windows mudou completamente. Quando terminei o curso em questão, formatei minha máquina (notebook) e instalei somente o Ubuntu (uma distribuição Linux), não mantive nem uma partição Windows, como alguns amigos sugeriram. E para ser sincero não sinto falta daquele sistema operacional chamado Windows. No Ubuntu tenho total liberdade para fazer o que eu quiser, a cada dia que passa aprendo algo novo que me faz gostar cada vez mais deste sistema fantástico. Outro grande fator que me agrada muito é que

este sistema aproveita muito bem os recursos do hardware. O consumo de memória RAM é de apenas 498MB com o sistema totalmente funcional e com a interface 3D habilitada. Devido ao meu grande aproveitamento no curso Linux Essentials resolvi também realizar o curso, Linux System Administration. Os cursos que estou realizando na 4Linux são a distancia (EAD), mas deixo claro que tanto o curso presencial como EAD oferecidos pela 4Linux possuem a mesma qualidade e aproveitamento. Eu pessoalmente prefiro fazer EAD, assim posso estudar no conforto do meu escritório ou da minha casa.

POR: FÁBIO JÂNIO LIMA FERREIRA E­mail: fabiojanio@segurancadigital.info Twitter: @_SDinfo

Novembro 2011 • segurancadigital.info

47 PARCERIA HostDime E Segurança Digital

Chrome x Firefox...
Google Chrome deve passar Firefox até o final do ano
Desde que foi lançado em Setembro de 2008, o Google Chrome tem gerado expectativas quanto à sua adoção e capacidade de crescimento. Com uma interface “limpa” e com complementos que deixam o navegador com funcionalidades que também podem ser encontradas para o Mozilla Firefox, o browser do Google ganha pela sua leveza e capacidade de rápido uso sem que sobrecarregue os recursos do computador. Ao completar 3 anos do Chrome, a companhia iniciou uma campanha de marketing e divulgação do produto no Brasil, patrocinando o horário nobre de emissoras como a Rede Globo, com comerciais intuitivos que demonstram a capacidade de utilização da plataforma – além de sua integração com outros produtos, como o Gmail e YouTube (veja o vídeo em nosso blog: http://blog.hostdime.com.br).

navegador da Microsoft e 14% para o Firefox. Atualmente o Internet Explorer ainda lidera com 41,6% de mercado, seguido do Firefox com 26,79% e do Chrome com 23,61%. Aparece ainda na lista o Safari com 5,6% e o saudoso Opera com 1,7%.

De olho no futuro
Se continuar na mesma “tocada”, o Google Chrome passará o Firefox até o final do ano e tende a ultrapassar o Internet Explorer até o final de 2011. A análise da nossa equipe é que o Chrome ainda não liderará o mercado em 2012, passando o IE apenas no primeiro semestre de 2013. O boom de crescimento do navegador do Google tenderá a se estabilizar no início do segundo semestre do próximo ano, tendo em vista o seu conhecimento por grande parte dos usuários. Ciente da expansão de mercado do seu concorrente, a Mozilla modificou algumas funcionalidades do Firefox, principalmente o seu peso e uso de recursos do sistema. Muitas reclamações de usuários que migraram pro Chrome tinham este um de seus principais motivos.

O crescimento
Segundo dados disponibilizados pela consultoria StatCounter, o Google Chrome teve um crescimento de mais de 50% apenas em 2011. Quando analisados os últimos 12 meses, o crescimento é ainda maior: mais de 100%, o que garante a terceira posição global para o produto. Por outro lado, o Internet Explorer e o Firefox têm cada vez menos usuários, tendo respectivamente 12% e 11% de perda neste ano. Analisando os últimos 12 meses, a perda é de 20% para o

E no Brasil, como estamos?
Os brasileiros, apesar do comercial ter começado a circular agora em Setembro, já adotaram o Chrome como o seu navegador. Em maio deste ano o Firefox deixou a segunda posição, sendo
Novembro 2011 • segurancadigital.info

48 PARCERIA HostDime E Segurança Digital

ultrapassado pelo seu principal concorrente. Atualmente o Internet Explorer está sendo usado por 43,6% dos brasileiros, seguido do Google Chrome com 31,8% e Firefox com 23,04%. Ainda aparecem na lista o Safari com 0,8% e o Opera com 0,4% do mercado.E você, qual é a sua preferência? Aqui na HostDime a briga é boa! Há os colaboradores que defendem com fervor o crescimento do Google Chrome e os que retrucam levantando a bandeira do Firefox. Na sua opinião, qual é – atualmente – o melhor navegador web?

Responda em: http://blog.hostdime.com.br/tecnologia/google­ chrome­deve­passar­firefox­ate­o­final­do­ano/

Artigo escrito pela Equipe HostDime Brasil Conheça os nossos serviços e saiba onde hospedar o seu site com qualidade, segurança e alta disponibilidade: www.hostdime.com.br

POR: HostDime Twitter: @HostDimeBR Facebook: www.facebook.com/DimeBR YouTube: www.youtube.com/HostDimeBR

Novembro 2011 • segurancadigital.info

Segurança Digital
3ª Edição ­ Novembro de 2011

www.segurancadigital.info
@_SegDigital segurancadigital

02

LICENÇA
VOCÊ PODE:
Copiar, distribuir e exibir a obra.

COM AS SEGUINTES CONDIÇÕES:
Dar crédito ao autor original e a Comunidade Segurança Digital, citando o nome do autor (quando disponível) e endereço da comunidade.

Você não pode utilizar esta obra como fonte comercial. Este direito é de total exclusividade do titular responsável por manter o site Segurança Digital.

O Projeto Segurança Digital apóia o compartilhamento gratuito de informações e conhecimento, mas ao mesmo tempo defende o fato de que, ao distribuir a obra de outra pessoa ou entidade você deverá citar a fonte original desta, dando assim crédito ao seu autor. Esta revista não poderá ser comercializada sem autorização prévia do responsável Fábio Jânio Lima Ferreira. O Projeto Segurança Digital garante a gratuidade desta edição. A mesma poderá ter uma versão impressa paga, porém a versão digital não poderá, em hipótese alguma, ser comercializada. Só será permitida uma versão impressa para cunho comercial sobre autorização prévia do titular da comunidade. A comercialização da versão impressa desta revista sem autorização prévia constitui crime previsto nas leis nº 6.895 e 10.695. Parágrafo que respalda esta revista: § 1º Lei nº 6.895 ­ Se a violação consistir em reprodução, por qualquer meio, com intuito de lucro, de obra intelectual, no todo ou em parte, sem a autorização expressa do autor ou de quem o represente, ou consistir na reprodução de fonograma ou videograma, sem autorização do produtor ou de quem o represente. Cada autor é responsável por seu artigo, desta forma a comunidade Segurança Digital não se responsabiliza por quebra de direitos autorais, por qualquer colaborador.
Janeiro 2012 • segurancadigital.info

EDITORIAL
“Nenhum plano de batalha sobrevive ao contato com o inimigo.” Esta máxima atribuída ao estrategista alemão herr Helmuth pode ser muito facilmente aplica­ da as mais diversas áreas. Mesmos os melhores planos, sejam eles passar com seu Transatlântico recheado de turistas mais perto de uma ilha, fazer uma reforma no seu escritório ou manter uma publicação bimestral sobre segurança da informação irão encontrar contratempos. A realidade é que dificuldades sempre existirão e todos os nossos planos de­ vem levar em consideração esse fator, muitas vezes imprevisível, e optar entre ter uma boa capacidade de adaptação ou falhar miseravelmente. Já nos acostumamos com a ideia de viver em um mundo de constante mudan­ ça, fato este refletido na nossa matéria de capa que fala das previsões para es­ te ano que promete trazer cada vez mais a tecnologia para dentro do nosso dia a dia, juntamente com suas óbvias vantagens e riscos criando cada vez mais paradoxos que por vezes caem no colo da equipe de segurança da informa­ ção, afinal como dizia o poeta romano Juvenal “Quis custodiet ipsos custo­ des?”. Quem vai cuidar do crescente número de hacktivistas anônimos, muitos dos quais possuidores de uma ideologia inocente que pode lhes deixar cegos perante os longos cordões que os prendem feito marionetes? Como se reflete em nosso comportamento um mundo onde cada passo que damos é acompanhado, seja no mundo corporativo onde o monitoramento mui­ tas vezes não é uma opção quando fazemos uma ligação ou mandamos um e­ mail ou mesmo em redes sociais onde escolhemos expor nosso cotidiano, pen­ samentos e problemas? A membrana invisível que separa real e virtual está cada vez mais fina. Entender este e outros aspectos da tecnologia passou a ser o papel não apenas do batalhão de Sheldon Coopers e sim de gestores, ju­ ristas, psicólogos e sociólogos. Quando segurança demais passa a ser pouca segurança? Quantos testes de invasão mostraram que herr Helmuth estava certo e levaram por água abaixo as melhores arquiteturas de segurança que ficaram obsoletas antes mesmo da tinta virtual secar? Neste contexto trazemos mais uma vez a revista Segurança Digital com o obje­ tivo de fomentar esse duelo de opiniões divergentes e a ousadia de levar a vo­ cê – nosso caríssimo leitor – nossos questionamentos, experiências, erros e acertos. Sejam todos bem vindos! Klaatu barada nikto! Por Claudio Dodt.

DIRETOR­GERAL Fábio Jânio Lima Ferreira fabiojanio@segurancadigital.info EDITOR­CHEFE Claudio Dodt ccdodt@gmail.com
Johnantan Pereira johnantan.pereira@gmail.com Luiz Felipe Ferreira lfferreira@gmail.com

EDITOR DE ARTE Hélio José Santiago Ferreira heliojsf@gmail.com COLUNISTAS Bruno Cesar M. de Souza bruno.souza@ablesecurity.com.br
Gilberto Sudre gilberto@sudre.com.br Julio Carvalho julioinfo@gmail.com Lígia Barroso ligiabarroso@hotmail.com Nágila Magalhães nagilamagalhaes@gmail.com Thiago Fernandes G. Caixeta thiago.caixeta@gmail.com

REVISÃO Andre Luiz aluiz204@gmail.com
Mauro Júnior maurompjunior@gmail.com Raiana Pereira raianagomes@yahoo.com.br

Na Internet
http://twitter.com/_SegDigital www.facebook.com/segurancadigital www.youtube.com/segurancadigital www.segurancadigital.info
Janeiro 2012 • segurancadigital.info

04
Fábio Jânio Lima Ferreira Analista de suporte técnico e administrador de redes, também possui conhecimentos na área da segurança computacional. Apaixonado por tecnologia e fascinado pela cultura hacker. Johnantan Pereira Analista de Segurança, Graduado em Redes de Computadores pela Faculdade Estácio do Ceará, com Extensão em Perícia Forense Computacional. Apaixonado por Tecnologia, Admirador e Pesquisador da Cultura Hacker, Usuário e Ativista Linux. Luiz Felipe Ferreira No mercado da TI há 9 anos, trabalhando com Segurança da Informação desde 2006. Atualmente trabalha no setor de IT Security da TV Globo. Graduado em Processamento de Dados pela UniverCidade e com MBA de Gestão de Projetos e Negócios de TI pela UERJ. Possui certificações ITIL, VCP, LPI Level 1 e MCP.

Cláudio Dodt Consultor Sênior em Segurança da Informação e gerente de projetos com foco em TI, atua na área de tecnologia há mais de 10 anos exercendo atividades como Técnico e Analista de Suporte, Analista de Segurança Sr. Security Officer e Supervisor de Infra­ Estrutura e Segurança.

Thiago Fernandes G. Caixeta Graduado em Ciência da Computação e MBA em Gestão da Segurança da Informação pela Universidade Fumec, atua na área de TI como Analista de Sistemas, desenvolvedor de softwares. Admirador da área de segurança da informação e entusiasta da forense computacional.

Gilberto Sudre Professor, Consultor e Pesquisador da área de Segurança da Informação. Comentarista de Tecnologia da Rádio CBN, TV Gazeta, Jornal A Gazeta, Revista ES Brasil, Revista Espírito Livre e Portal iMasters. Autor dos livros Antenado na Tecnologia, Redes de Computadores e Internet: O encontro de 2 Mundos.

Bruno Cesar M. de Souza Sócio e Diretor Técnico da Able Security, CISSP desde Jan/2007, OSCP, Bacharel em Sistemas de Informação pela PUC­Rio, com mais de 11 anos de experiência em segurança da informação, especialista em testes de intrusão. Tem prestado consultoria para organizações de diversos segmentos, no Brasil e no Reino Unido.

Lígia Barroso Advogada, atuante em Direito Eletrônico e Propriedade Intelectual. Mestranda em Direito da Propriedade Intelectual na Universidade de Lisboa (FDUL), Especialista em Direito Eletrônico e Tecnologia da Informação pelo Centro Universitário da Grande Dourados (UNIGRAN).

Nágila Magalhães Graduada em Tecnologia em Redes de Computadores pela FCAT. Apaixonada por tecnologia e ciberespaço, com conhecimento nas áreas de segurança computacional e computação forense pelo qual tenho enorme interesse e admiração. Atualmente atuando como colaboradora das Revistas Segurança Digital e Espírito Livre.

Julio Carvalho Graduado em Redes de Computadores e Pós Graduado em Auditoria e Segurança de Sistemas pela Universidade Estácio de Sá, Especialista em Códigos Maliciosos e Sistemas de Correio Eletrônico, com mais de 10 anos de experiência em Infraestrutura e Segurança de ambientes, com certificações em produtos da linha Lotus/IBM e Trend Micro.

Hélio José Santiago Ferreira Engenheiro por formação. Atualmente desenvolve atividades de consultoria em Software Livre, ministra cursos e palestras. Como designer colabora nas revistas Espírito Livre e Segurança Digital. É membro da The Document Foundation e atua como coordenador da revista LibreOffice Magazine Brasil.

Janeiro 2012 • segurancadigital.info

05

Janeiro 2012
PARCEIROS
Kryptus desenvolve primeiro Cripto­Processador Seguro 100% nacional

ARTIGOS
POR: Gilberto Sudrema

06 "GRAMPOS DIGITAIS": VOZ SOBRE IP É SEGURO? 08 FACEBOOK E SEUS MILHÕES DE USUÁRIOS E A SEGURANÇA COMO FICA?
POR: Nágila Magalhães Cardoso

47 KRYPTUS

Curso: Investigação Forense Digital

50 4LINUX

11 O BIG BROTHER CORPORATIVO
POR: Lígia Barroso

POR: Fábio Jânio Lima Ferreira

13 TROCANDO UMA IDEIA

Desafios da gestão de segurança de servidores compartilhados (Parte I)

51 HOSTDIME

15 SEGURANÇA DA INFORMAÇÃO: PREVISÕES PARA 2012
POR: Luiz Felipe Ferreira

APOIAMOS
Revista Segurança Digital adere ao #SOPABlackoutBR.

45 SOPA

19 POR QUE FALHAM PLANOS DE RECUPERAÇÃO DE DESASTRES E CONTINUIDADE DE NEGÓCIOS?
POR: Cláudio Dodt

APOIAMOS
18 AGENDA DE TI

POR: Julio Carvalho

23 CONSCIENTIZAÇÃO DOS RISCOS DA INTERNET

26 ENTENDENDO A SEGURANÇA NAS REDES SEM FIO
POR: Thiago Fernandes Gaspar Caixeta

POR: Cláudio Dodt

33 QUESTÕES DE CISSP

36 TESTES DE INTRUSÃO ­ QUE BENEFÍCIOS PODEM TRAZER PARA SUA ORGANIZAÇÃO?
POR: Bruno Cesar M. de Souza

44 DO LEITOR COLUNA

43

Clicando com segurança

LIVRO EM DESTAQUE Uma leitura obrigátoria

42

Emails, sugestões e comentários. Envie o seu, e contribua para com o nosso projeto.

NOTÍCIAS

Fique informado quanto ao que acontece no mundo virtual. Janeiro 2012 • segurancadigital.info

06 ARTIGO Segurança Digital

"Grampos Digitais"

VOZ SOBRE IP É SEGURO?
POR: Gilberto Sudre E­mail: gilberto@sudre.com.br Blog: http://gilberto.sudre.com.br Twitter: @gilbertosudre Facebook: http://www.facebook.com/gilberto.sudre

A tecnologia que permite o transporte da voz utilizando o protocolo IP, conhecida como VoIP, está no topo da lista de atenção dos usuários e gerentes de TI da maioria das empresas. Isto não é nenhuma surpresa levando­se em consideração a forte redução de custo e o aumento da flexibilidade no uso das redes proporcionada por ela.

a voz) trafegados. Isto mesmo!!! Imagine que, além da possibilidade de saber por onde você navega, os “curiosos” podem ouvir o que você fala. Certamente uma situação nada agradável. É bom lembrar que a infra estrutura da rede telefônica convencional está sob o controle de uma ou poucas empresas. Muito diferente do VoIP onde todos os protocolos são de conhecimento público e a própria rede utilizada, na maioria das vezes, é a Internet (que não é nenhum exemplo de privacidade). Considerando que a voz será transportada como dados, quais as ameaças no uso desta nova tecnologia?

Esta situação, aparentemente campeã, está longe de ser perfeita e várias dificuldades devem ser observadas para sua adoção. A primeira delas está no aumento da complexidade no projeto das redes pois estas agora serão responsáveis por transportar um tipo de informação que estabelece limites de tempo e atraso de transmissão. Outro ítem de preocupação é com a segurança dos dados (no caso O ataque que provavelmente mais preocupa os
Janeiro 2012 • segurancadigital.info

07 ARTIGO Segurança Digital usuários é o monitoramento de suas conversas. Como a voz é transmitida pela rede no formato de dados digitais, torna este tipo de ataque muito simples de ser executado. A proteção para esta invasão de privacidade é a utilização de algoritmos para criptografar as informações enviadas. Isto pode ser implementado através das VPNs (Virtual Private Networks). A disponibilidade do serviço de VoIP pode ser bastante prejudicada com os ataques de DoS (Denial of Service). Nesta situação, o hacker consegue gerar uma grande quantidade de tráfego inútil, com o objetivo de sobrecarregar os links de comunicação e impedir que o tráfego útil possa chegar ao destino. O combate a este tipo de ataque não depende dos usuários. Somente a ação integrada de provedores pode impedir que este tráfego indesejado invada os links Internet. Outro tipo de ataque ao VoIP, ainda raro nos dias de hoje, mas infelizmente muito conhecido em outros meios é o SPIT (Spam over Internet Telephony) ou SPAM sobre a telefonia IP. Isto mesmo!!! Se você fica irritado com as dezenas (ou centenas) de mensagens indesejadas que chegam a sua caixa postal, imagine agora sua caixa de correio de voz repleta de mensagens de venda de produtos muitas vezes impublicáveis. Este são só alguns dos muitos tipos de ataques que vamos enfrentar em breve. Apesar de não existir publicamente, ainda, nenhum relato de ataques a uma rede ou tráfego VoIP, isto não significa a ausência de vulnerabilidades. O mais provável talvez seja a falta de interesse (até quando?) ou oportunidade. Assim, é bom ficar de olho pois não vai demorar para começarmos a ver casos de “grampos digitais” acontecendo por aí.

Janeiro 2012 • segurancadigital.info

08 ARTIGO Segurança Digital

Facebook e seus milhões de usuários e a segurança como fica?

FACEBOOK A REDE SOCIAL DE MARK ZUCKERBERG MAIS FAMOSA DO MUNDO QUE VIROU MANIA SE TORNOU TAMBÉM O MEIO MAIS PROCURADO POR CIBERCRIMINOSOS PARA DISSEMINAR CONTEÚDOS MALICIOSOS .
POR: Nágila Magalhães Cardoso E­mail: nagilamagalhaes@gmail.com Twitter: @netnagila

Atualmente a rede social do jovem Mark Zuckerberg atrai a cada segundo grande quantidade de pessoas na rede entre crianças, adolescentes, adultos e até alguns idosos, pelo qual são mais de um bilhão de conteúdos compartilhados, status comentados, fotos postadas, além da famosa opção “curtir” que lidera entre os cliques dos usuários. O facebook como podemos observar já faz parte do cartão de visitas das grandes empresas, instituições, celebridades e de qualquer outra pessoa, é surpreendente como o facebook conquistou o gosto dos usuários.

beneficiam nossa vida, seja para conversar com amigos que estão distantes, amenizar um pouco o estresse, ter maior acesso a diversos tipos de informações, entre outros benefícios que são inúmeros que estamos acostumados a presenciar, mas também por outro lado vale lembrar que existem alguns pontos negativos por trás disso. Devido a grande concentração de pessoas e a liberdade de expressão compartilhada com a curiosidade de informações disponíveis que elas encontram, o Facebook umas das redes sociais que mais ganharam destaque ultimamente se tornou alvo principal, fácil e rentável pelos cibercriminosos para disseminar facilmente seus ataques aos usuários despreparados no que diz respeito a segurança.

Hoje atualizar o perfil e ver as atualizações dos amigos na rede já é tarefa diária e normal como qualquer outro tipo de coisa que estamos acostumados a fazer durante o dia­a­dia, às vezes como se fosse um imã somos atraídos a visitar nossa página várias vezes só para conferir as novidades não é mesmo? É certo lembrar de que, quem faz a rede social se tornar boa parte mais insegura são os próprios É fato que as redes sociais como um todo divertem, usuários e aquela famosa frase do hacker Kevin
Janeiro 2012 • segurancadigital.info

09 ARTIGO Segurança Digital Mitnick não nos deixa enganar de que o “ser humano é o elo mais fraco da segurança”, sabemos que a segurança nesse mundo é um assunto sério, mas que a maioria das pessoas preferem deixar para o segundo plano. Como exemplo, grande parte dos usuários tem o costume compulsivo de clicar em tudo que ver sem antes fazer uma análise prévia do conteúdo. É comum ver as pessoas compartilhando conteúdos e permitindo a entrada de aplicativos de outros sites no seu perfil do Facebook o que se torna um risco não só para o próprio usuário que pode ter sua conta infectada e dados roubados, mas sim os amigos que fazem parte da sua rede. Geralmente, a primeira ação dos criminosos virtuais é roubar a senha dos usuários. A partir daí, eles utilizam o perfil da vítima para espalhar sua ação. Pois assim se torna mais fácil, uma vez que os amigos daquela pessoa tendem a confiar em uma publicação feita por ela. O fato é que ninguém está cem por cento seguro, que até então o próprio criador do Facebook já teve seu perfil invadido com publicações de mensagens e fotos privadas expostas ao público. Mas e aí quem poderá nos defender? A resposta parece ser difícil, mas é simples, quem pode nos defender é claro que nós mesmos, não custa nada seguir aquele velho ditado popular: “é melhor prevenir que remediar”. A prevenção de certos problemas é sempre bem aceita, amamos redes sociais e o Facebook é um exemplo disso, devemos aproveitar seus benefícios sem esquecer os riscos que este pode oferecer e que tal então seguir algumas dicas para não ter dor de cabeça mais tarde. maioria dos casos encontramos os seguintes exemplos de permissão: “Publicar ao Facebook em meu nome”, ”Acessar minhas informações básicas” entre outros; • Deixe suas informações apenas disponíveis para amigos, em muitos casos se encontram em público, assim podendo qualquer pessoa ver seus dados. Para ver qual opção está ativa, vá em configurações de privacidade na aba do lado da página inicial do seu Facebook; • Cuidados com certos aplicativos ou links que prometem mostrar quem visitou seu perfil. Como você já deve saber o Facebook não possui essa opção. Então ignore esse tipo promessa. Pense que se tivesse estaria disponível na sua própria página e não pedindo para instalar; • Sempre desconfie; • Atenção a timeline do Facebook já está disponível, uma vez adicionada não há como removê­la. Tem usuários insatisfeitos com o novo recurso e por conta disso virou oportunidade para cibercriminosos espalharem golpes com promessas de remover a timeline; • Adicione o suporte HTTPS presente em configuração da conta na opção segurança disponível na sua página do Facebook e com isso seu perfil estará mais seguro contra a ataques que visam roubar seus dados; • Cuidado com que você compartilha e fica falando, as suas informações que você deixa visíveis no seu perfil podem parecer inofensivas, mas são ótimas dicas e oportunidades para crackers e demais pessoas fazerem o que não devem com ajuda dessas informações. • Já terminou o que tinha para fazer no Facebook, espere aí não vai sair da página fechando naquele “x” ou senão a próxima pessoa que entrar no Facebook vai aparecer sua página. Para sair completamente vá na opção sair que
Janeiro 2012 • segurancadigital.info

Algumas dicas de prevenção
• Clique com responsabilidade, antes de tudo, analise, reflita; • Cuidado ao permitir aplicativos, leia antes o que o aplicativo está pedindo de permissão. Na

10 ARTIGO Segurança Digital está naquela aba do lado da página inicial. • Tome cuidado com novas amizades, procurando referências antes de considerá­las como conhecidas; Portanto aqui foram algumas dicas fundamentais para que você possa está um pouco mais protegido de inúmeras pessoas que fazem o máximo para chamar sua atenção a toda hora de algo que parece ser inofensivo, mas que na verdade por trás a uma ação indesejada, cujo principal prejudicado nessa história é você usuário.

Referências
Olhar Digital (2011), Nova onda de cyber ataques assusta usuários de redes sociais http://olhardigital.uol.com.br/produtos/central_de_videos/nova_onda_de_cyber_ataques_assu sta_usuarios_de_redes_sociais#|0|0|2|99 Olhar Digital (2012), Cuidado para não cair no golpe da Timeline do Facebook http://olhardigital.uol.com.br/produtos/seguranca/noticias/cuidado­para­nao­cair­no­golpe­da­ timeline­do­facebook Campi, Mônica. Falha no Facebook permitir ver fotos privada (2011) http://info.abril.com.br/noticias/seguranca/falha­no­facebook­permite­ver­fotos­privadas­ 06122011­30.shl

Janeiro 2012 • segurancadigital.info

11 ARTIGO Segurança Digital

O big brother corporativo

SAIBA SOBRE O MONITORAMENTO DE CORREIO ELETRÔNICO REALIZADO NO AMBIENTE CORPORATIVO.

POR: Lígia Barroso Twitter: @ligiaabarroso

Em tempos de Big Brother, a realização de monitoramento eletrônico das contas de e­mail corporativo torna­se alvo de muitas discussões. Diante deste cenário, é importante apontar quais os fundamentos jurídicos que permitem a realização do monitoramento e até que ponto ele é permitido.

atividade econômica, admite, assalaria e dirige a prestação pessoal de serviço”.

O poder de direção consiste na faculdade do empregador de organizar a execução da atividade laboral dos empregados. É doutrinariamente dividido em três aspectos, quais sejam, o poder disciplinar, o Ao proteger o direito à propriedade, a Constituição poder regulamentar e o poder de fiscalização, o qual Federal garante ao empregador, proprietário da compreende o monitoramento de correio eletrônico. estrutura tecnológica da empresa e, portanto, dono dos computadores, do acesso à internet e das Ainda, quanto aos outros fundamentos jurídicos que contas de e­mail corporativo proporcionadas aos possibilitam a adoção da prática do monitoramento empregados para a execução de suas atividades de correio eletrônico corporativo no ordenamento profissionais, o direito a fiscalizar a sua utilização. jurídico, temos o disposto no Código Civil Brasileiro acerca da responsabilidade civil em seus arts. 186, Por sua vez, a Consolidação das Leis do Trabalho 187, 927 e 932, III e que impõem responsabilidade (Decreto­Lei n° 5452/43) em seu art. em seu art. 2º, objetiva do empregados pelos atos de seus garante ao empregador o Poder Diretivo, através do empregados. qual “Considera­se empregador a empresa, individual ou coletiva, que, assumindo os riscos da Todos esses argumentos servem para consolidar a
Janeiro 2012 • segurancadigital.info

12 ARTIGO Segurança Digital possibilidade de os empregadores estabelecerem práticas de segurança e controle quanto a seus sistemas de informação, utilização de internet e correio eletrônico corporativo fornecidos a seus empregados para realização de suas respectivas tarefas profissionais. Em contrapartida, em respeito ao direito à privacidade e à intimidade do trabalhador, o empregador deverá abster­se de monitorar o conteúdo de mensagens enviadas ou recebidas através de contas de correio eletrônico particulares, pois estas sim, estão protegidas juridicamente contra as invasões arbitrárias. Para que sejam evitados problemas no âmbito corporativo em relação a tais contas de correio eletrônico particulares, é recomendável que o acesso a esse tipo de serviço seja bloqueado.

de terminal de computador e de provedor da empresa, bem assim do próprio endereço eletrônico que lhe é disponibilizado igualmente pela empresa. (TST RR 613/00.7 – 1ª T. – Rel. Min. João Oreste Dalazen – DJU 10.06.2005) (grifos nossos)
Para que haja a possibilidade de monitoramento de correio eletrônico profissional, o empregador ainda deverá certificar­se de que os empregados estão cientes da prática. Este requisito é essencial para que o monitoramento seja considerado válido.

Portanto, as regras do jogo devem ser claras, as partes envolvidas devem estar cientes do monitoramento e da possibilidade de suas comunicações eletrônicas estarem sendo observadas. Devem estar cientes do alcance das suas permissões e também dos limites impostos por No Brasil, observa­se um posicionamento firmado suas proibições. pela jurisprudência trabalhista no sentido de proteger a privacidade de mensagens e contas de correio eletrônico particulares. Podendo o empregador tão somente monitorar as contas de e­mail corporativo, por ter este recurso natureza de ferramenta de trabalho, como podemos observar na decisão do TST citada: TRIBUNAL SUPERIOR DO TRABALHO PROVA ILÍCITA – E­MAIL CORPORATIVO – JUSTA CAUSA – DIVULGAÇÃO DE MATERIAL PORNOGRÁFICO 1. Os sacrossantos direitos do cidadão à privacidade e ao sigilo de correspondência, constitucionalmente assegurados, concernem à comunicação estritamente pessoal, ainda que virtual (e­mail particular). Assim, apenas o e­ mail pessoal ou particular do empregado, socorrendo­se de provedor próprio, desfruta da proteção constitucional e legal de inviolabilidade. 2. Solução diversa impõe­se em se tratando do chamado e­mail corporativo, instrumento de comunicação virtual mediante o qual o empregado louva­se
Janeiro 2012 • segurancadigital.info

13 ARTIGO Segurança Digital

Trocando uma ideia

TODA SEGURANÇA É POUCA
POR: Fábio Jânio Lima Ferreira Twitter: @_SDinfo Blog: www.segurancadigital.info E­mail: fabiojanio@segurancadigital.info

CONVERSANDO A GENTE SE ENTENDE. ENTÃO VAMOS TROCAR UMA IDEIA AQUI NESTE ARTIGO.
Vamos usar como exemplo um sistema que eu estou a desenvolver. Este sistema possui uma camada em Javascript, camada essa que é responsável por fazer a validação dos dados, mas aí temos um problema, pois o usuário poderia manipular meu código, isso se torna possível pois o Javascript é executado no cliente, sendo assim realmente temos um grande problema! Como solucionar isso? Inseri uma segunda camada de validação, desta vez em PHP, pois este é executado no servidor e não no cliente. Agora possuo duas camadas, o Javascript faz a primeira validação (isso evita o consumo desnecessário de recursos no lado do servidor), mas e se o usuário manipular o Javascript? Não tem problema, quando os valores forem enviados ao servidor, o PHP fará uma nova validação e, caso algo esteja errado, o sistema irá alertar o usuário e tomar as providências previamente estabelecidas.
Janeiro 2012 • segurancadigital.info

Toda segurança não é suficiente

Por mais completo e moderno que seja seu sistema de segurança, sempre haverá um jeito de contornar essa “maravilha de última geração” em termos de segurança, então tente dificultar ao máximo o trabalho dos “meliantes”, faça­os desistir antes de achar uma brecha na sua “muralha”. No mundo virtual não existe essa história de perfeição, toda segurança possui uma falha, esta só precisa ser descoberta.

Onde muitos erram

O grande pecado de muitos é pensar que apenas uma camada de segurança é o suficiente para deter um “meliante”. Se o pote de mel é grande, vai atrair muitas abelhas, então, quanto mais mel você estiver protegendo, mais atenção você irá chamar, em consequência terá que elaborar um sistema de segurança com diversos níveis ou camadas de proteção.

14 ARTIGO Segurança Digital

“As quatro perguntas mais importantes” site malicioso. Existem quatro perguntas que devem ser respondidas antes de iniciar o desenvolvimento de Desconfie do usuário qualquer mecanismo de segurança, são elas: Não confie demais no usuário. Sabemos que existem pessoas “boas” e “más”, pessoas que Proteger O QUÊ? querem ajudar a construir e outros que querem destruir, então a pergunta é: “Como saber em quem Proteger DE QUEM? confiar”? Proteger A QUAIS CUSTOS? Proteger COM QUAIS RISCOS? Infelizmente, ninguém achou a resposta para essa Essas quatro perguntas foram fortemente tratadas pergunta, então a dica de “nerd” é: desconfie de no artigo “Segurança da informação” disponível na todo mundo, não confie em ninguém. Proteja ao máximo sua aplicação. 3ª edição da nossa revista. Filtre tudo, o perigo pode estar querendo entrar É extremamente importante filtrar tudo o que passa por sua aplicação, imagine que você possui um formulário com diversos campos, os valores digitados nestes campos são armazenados no banco de dados. É extremamente importante filtrar e validar quaisquer informações digitadas nos campos, não importando qual usuário passou essas informações. A falta de filtros e regras de validação é o que coloca a maioria das aplicações em risco, a falta desta camada de segurança implica em ataques como, por exemplo, SQL Injection.
Um ponto a ser observado é que, se você pretende validar os dados utilizando Javascript, poderá estar colocando a segurança da sua aplicação em risco, tendo em vista que ele pode ser manipulado pelo cliente.

“Filtrar a saída também é uma boa prática!” Tão importante quanto filtrar a “entrada” é filtrar a “saída”. Ataques do tipo XSS (Cross Site Scripting – tratado na 1ª edição de nossa revista) podem ser evitados se você evitar que uma entrada inválida se torne uma saída potencialmente perigosa.
A entrada de alguns dados na aplicação pode gerar resultados imprevisíveis e estes, por sua vez, podem desencadear uma série de “anomalias” na aplicação, como, por exemplo, redirecionar o usuário para um
Janeiro 2012 • segurancadigital.info

15 ARTIGO Segurança Digital
Segurança da Inf ormação: Previsões para 2012

VOCÊ SE SENTE SEGURO AO UTILIZAR SEU COMPUTADOR? SERÁ QUE TEM ALGUÉM MONITORANDO SUA NAVEGAÇÃO NA WEB OU COPIANDO ARQUIVOS IMPORTANTES DO SEU MICRO?
POR: Luiz Felipe Ferreira Twitter: @lfferreiras E­mail: lfferreira@gmail.com Site: br.linkedin.com/in/luizfelipeferreira

Embora não seja vidente, futurólogo ou algo do gênero, gosto de pensar no que pode acontecer na área da Segurança da Informação. O ano anterior foi muito movimentado em termos de ataques (Sony que o diga) e fez com que muitas empresas que antes não se preocupavam com a segurança de seus sites e redes começassem a mudar seus conceitos. Mas, o que aconteceu em 2011 se repetirá neste ano? Será que atingimos um nível de maturidade que fará com que os ataques não sejam bem sucedidos? Não há dúvida que o assunto segurança está na moda, portanto é importante procurar se antecipar e proteger os ativos da sua organização. O mercado indica que teremos um contínuo crescimento de usuários nas redes sociais, na adoção das soluções de cloud computing pelas empresas e nas vendas

de smartphones e tablets. Essas 3 tendências são de suma importância para a Segurança da Informação em 2012.

1. Mobilidade ­ A invasão do BYOD

No passado, sabia­se que a atenção dos criminosos virtuais era o Windows, ainda hoje o sistema operacional mais utilizado no mundo. Porém, com a adoção vertiginosa dos smartphones e tablets, em
Janeiro 2012 • segurancadigital.info

16 ARTIGO Segurança Digital especial aqueles com o Android instalado, o foco mudou. Você sabe, o que interessa é o dinheiro. O número de pragas criadas para o sistema do Google aumentou mais de 400% nos últimos anos, sendo encontradas inclusive nos (agora nem tão) confiável Android Market e no AppStore. Não é novidade que as redes sociais movimentam a internet e o crescimento delas é espantoso e contínuo. O Facebook, por exemplo, deve chegar a 1 bilhão de usuários em 2012. O Brasil é um dos países onde a adesão as redes é intensa, pois há um estímulo a inclusão digital. Porém, não há educação básica sobre Segurança da Informação para os novos internautas. Além disso, a “nova geração” de internautas parece ter cada vez menos preocupação com a privacidade. O resultado é entrada de potenciais “vítimas” de criminosos que tem nesse público um alvo muito atraente.

Com a chegada do Windows Phone, não será surpresa encontrarmos malwares para esta plataforma já no começo do ano. Com a nova interface “Metro” , a Microsoft pretende iniciar uma convergência em todas as suas plataformas (Windows 8, Xbox, Windows Phone) Não seria interessante uma praga que pudesse atingir todas É notável o crescimento de links maliciosos elas? É esperar para ver. escondidos pelos encurtadores de links (como o bit.ly, por exemplo) usados principalmente no Twitter Outro fator decisivo para esta previsão é a sigla além dos já famosos phishings normalmente BYOD (Bring Your Own Device), que será muito vinculados a acontecimentos cotidianos (BBB, por comentada em 2012. Trata­se do uso de dispositivos exemplo) que são muito eficazes e as técnicas de móveis pessoais adquiridos por funcionários no engenharia social. mundo corporativo. Muitos deles o fazem para acessar as informações da empresa sem as Informe seus usuários (e também a sua família) dos restrições de segurança. Por terem o controle total perigos das redes sociais. A educação é vital para dos aparelhos e por normalmente ignoraram normas evitar o sucesso desses ataques. de segurança, esses usuários são potenciais alvos para os criminosos, que através de aplicativos 3. Nas nuvens maliciosos, mas que se passam por legitímos além de outras técnicas já conhecidas como o phishing e o spam. Esta ameaça não pode ser ignorada e ações urgentes são necessárias. Várias dicas podem ser encontradas na matéria “Mobilidade ­ O Próximo Desafio da Segurança da Informação ­ Você Está Preparado?” inclusa na 3ª edição da revista Segurança Digital, lançada em novembro de 2011.
2. Pragas sociais

Mais uma tendência em crescimento explosivo, a adoção do cloud computing pelas empresas será cada vez mais frequente. Os benefícios são muitos, como a provisão rápida de novos servidores, a disponibilidade constante, entre outros motivos. O importante agora não é se a empresa usará a cloud, mas quando. Mas como está sendo tratada a segurança? Será que todos aqueles que oferecem esse serviço tem uma política adequada para proteger as informações ?
Janeiro 2012 • segurancadigital.info

17 ARTIGO Segurança Digital Algumas questões devem ser pensadas antes de se contratar esse serviço. Será que tudo deve ir para a nuvem? E a privacidade dos dados? Em caso de fraude ou roubo dos dados, qual a responsabilidade do provedor da nuvem? Os riscos são vários começando pela localização física dos dados, que podem estar em qualquer país, o que pode ser um problema por questões de privacidade, dependendo do país . Outro problema é o acesso privilegiados de usuários, certamente diferente daquele praticado pela sua própria área de TI. Como dica, sugiro que você consiga o máximo de informação sobre quem vai gerenciar seus dados. com as suas “operações”, cujos alvos mais recentes foram sites de pedofilia, grupos neonazistas e o SOPA, polêmico projeto de lei que procura evitar a pirataria na internet. É muito provável que em 2012 vejamos ataques mais sofisticados, direcionados a alvos específicos, tais como governos, empresas, organizações de interesses contrários a esses grupos ou até mesmo figuras públicas.

Porém, já vimos que após o FBI ter “fechado” o famoso site de compartilhamento de arquivos Megaupload, o Anonymous revidou utilizando a já manjada técnica de DDoS para tirar do ar vários sites, como o Departamento de Justiça dos Estados, Creio que em poucos anos, as empresas exigirão o da Warner Music Group, entre outros. Sobrou até (como condição de uso) que a segurança dos para o site da Paula Fernandes. provedores de cloud seja atestada por entidades independentes. Cabe agora, a pergunta final: Você e a sua empresa estão preparados para os perigos de 2012? 4. A volta dos que não foram

No meio do ano passado, vimos um número expressivo de ataques provenientes de grupos hackers que por motivações políticas ou somente por diversão viraram o centro das atenções, sendo noticiados inclusive em horário nobre, fazendo com que os gestores de TI se movimentassem visando proteger os seus ambientes. Esse movimento é conhecido por “hacktivismo”. Pouco tempo depois, misteriosamente, o Lulzsec informou que estava “encerrando suas atividades”. Mas será que esse grupo está realmente inativo? Já o Anonymous até os dias atuais permanece ativo
Janeiro 2012 • segurancadigital.info

18

Links :

http://www.agendati.com.br http://twitter.com/agendati http://www.facebook.com/agendati agendati@fedorowicz.com.br
Perfil Responsável:

Eduardo Fedorowicz http://twitter.com/fedorowicz
Janeiro 2012 • segurancadigital.info

19 ARTIGO Segurança Digital

Por que falham planos de recuperação de desastres e continuidade de negócios?

POR: Cláudio Dodt E­mail: ccdodt@gmail.com Blog: www.claudiododt.wordpress.com br.linkedin.com/pub/cl%C3%A1udio­dodt/5/1a4/723

Planos de recuperação de desastres (PRD) e continuidade de negócios (PCN) nos preparam para lidar com crises e podem ser resumidos como diversas ações preventivas ou corretivas são sistematicamente estabelecidas e condensadas em um plano que, quando ativado, deve reger ações de pessoas chave da organização e seus resultados podem simplesmente ser a diferença se a organização “vai estar lá amanhã”. Entretanto, como já dizia herr Helmuth: “Nenhum plano de batalha sobrevive ao contato com o inimigo.” Esta máxima do estrategista pode ser perfeitamente aplicada a qualquer cenário de crise onde sempre vai existir um certo nível de incerteza. Voltando ao tópico deste artigo, existem diversos motivos pelos quais mesmo o melhor dos planos pode falhar. Muitos planos falham desde o seu início tendo uma análise de riscos ou mesmo uma análise de impacto nos negócios, tópicos que estarão nas próximas edições, mal elaboradas. Hoje vamos focar em um dos aspectos mais

importantes e que pode simplesmente acabar com o mais bem elaborado dos planos. Para isso vou pedir a ajuda de minha série preferida: Os Simpsons.

Scott Adams – Dilbert : Cartoon amplamente divulgado mas que não tem igual quando o assunto é mostrar a fragilidade de um PRD.

Mr. Burns e a simulação de incêndio Se você possui acesso a internet neste momento, recomendo parar esta leitura por alguns segundos e dar uma olhadinha neste vídeo do episódio “A montanha da loucura” dos Simpsons.

Janeiro 2012 • segurancadigital.info

20 ARTIGO Segurança Digital Se você não tem acesso a internet, ou está sem paciência, segue um resumo: Um belo dia, estando entediado no trabalho o Sr. Burns – dono da usina nuclear de Springfield – resolve agitar as coisas e escolhe um cenário comum a qualquer empresa – um “velho e bom” fire drill (teste de evacuação de incêndio). O que se vê a seguir são uma série de trapalhadas no estilo Simpsons culminando em Homer trancando a maioria dos empregados e perguntando se tinha ganho o prêmio por ser o primeiro a sair do escritório. Nada mais longe da realidade, correto? Não. Posso atestar em primeira mão que já conduzi um teste semelhante em uma instituição financeira que resultou no “Homer local” pegando uma vassoura para tentar silenciar o alarme de incêndio que o estava importunando. Nice! Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais motivos de falha (que acredito serem os mesmos do meu exemplo real): Erro I: Nem os melhores planos duram para sempre Primeiramente vamos olhar os cenários de teste a disposição de Mr. Burns: • Alerta de derretimento (do reator nuclear) • Ataque de cachorros loucos • Ataque de Zepelim • Evacuação de Incêndio Como vimos em Fukushima, um alerta de derretimento é obviamente pertinente a uma usina nuclear e quanto a cachorros loucos realmente não sei o que dizer. Porém, o último ataque de Zepelim foi registrado em 1940 ainda durante a segunda guerra mundial. Eis o primeiro grande erro. Assumindo que a série dos Simpsons se passava nos anos 90, acredito que deixar um plano que caiu em desuso por 50 anos não possa ser considerado uma boa prática. Infelizmente, este cenário me lembra muito mais a realidade do que ficção pois como consultor é algo com que me deparo em empresas em diversos portes com uma frequência que considero nada menos que assustadora.

Janeiro 2012 • segurancadigital.info

21 ARTIGO Segurança Digital Erro dois: Estamos preparados! Vamos a uma breve lista das pequenas trapalhadas do vídeo dos Simpsons: 1. Carl pensa que o alarme de incêndio é o micro­ondas avisando que as pipocas estão prontas 2. Lenny espera o café ficar pronto antes de sair 3. Vários empregados correm em aparente desespero 4. Um empregado usa um extintor para “se defender” 5. Homer volta a seu escritório para buscar um retrato 6. Um empregado corre desesperado em círculos sem tomar nenhuma outra ação aparente 7. O plano de evacuação deveria ser concluído em 45 segundos, mas o Smiters não sabe informar quanto tempo levou, pois o cronometro só marca até 15 minutos E a cereja do bolo: 8. Homer (que para quem não sabe é inspetor de segurança) tranca os demais empregados e pergunta se ganhou um premio! Em resumo o que estamos vendo é:

Novamente devo dizer que os erros acima apresentados não poderiam estar mais próximos da realidade. Dentre os muitos exemplos que já vi pessoalmente, ressalto o caso de uma funcionaria que não queria deixar o escritório sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram para buscar algum tipo de pertence pessoal ou da empresa. Esta é a infeliz realidade dos planos informais que se baseiam na intuição das pessoas. A criação de uma cultura institucional é a chave de sucesso de qualquer PRD ou PCN. Lembre­se sempre: mesmo com uma boa preparação, a reação dos seres humanos é um dos pontos mais imprevisíveis em momentos de crise e em especial durante desastres. Como escapar dessas armadilhas? Presumir é a chave do insucesso e a base para criação de planos ineficazes. 1. Presumir que algo é conhecido, quando na verdade ninguém conhece.

2. Presumir que algo é simples, quando não o é.
E especialmente: 3. Que existe alguém competente tomando conta deste algo!

Janeiro 2012 • segurancadigital.info

22 ARTIGO Segurança Digital Planos de recuperação de desastres ou de continuidade de negócios são elementos “vivos” e devem ser tratados desta forma, não basta criar um bom plano e acreditar que sua organização estará protegida.

PDCA: ABNT NBR 15999­ 1 Qualquer bom profissional de continuidade de negócios vai lhe garantir que os dois aspectos mais importantes para garantir a pertinência de um PCN a sua organização são revisão e treinamento. A dinâmica da maioria das empresas acarreta em aquisições, fusões, novos negócios, entrada e saída de colaboradores. Planos devem ser revisados com uma periodicidade regular (recomendo intervalos não maiores que 12 meses) e adequadamente comunicados a todos os indivíduos envolvidos. Testes periódicos são uma parte essencial, mas cuidado, não faça como o Mr. Burns que aprendeu da forma mais difícil: um teste mal planejado pode ter um impacto bastante similar a um desastre real!

­­­ http://www.youtube.com/watch?v=ZHRWg70apMM http://en.wikipedia.org/wiki/Helmuth_von_Moltke_the_Elder http://en.wikipedia.org/wiki/Mountain_of_Madness http://www.abntcatalogo.com.br/norma.aspx?ID=59370

Janeiro 2012 • segurancadigital.info

23 ARTIGO Segurança Digital

Conscientização dos riscos da Internet

O MUNDO VIRTUAL É MAIS REAL DO QUE PARECE!!!
BILHÕES DE PESSOAS CONECTADAS, 1 BILHÃO DE NOVAS PÁGINAS CRIADAS, 2.350.000 TWEETS, 1.900.000 MENSAGENS, 1.200.000 COMENTÁRIOS NO FACEBOOK DIÁRIOS E MILHARES DELES SÃO SOBRE VOCÊ!!!
POR: Julio Carvalho Linkedin: http://br.linkedin.com/in/julioinfo E­mail: julioinfo@gmail.com

Ainda no início da INTERNET, as primeiras vulnerabilidades foram descobertas e exploradas por pesquisadores. Com a liberação da tecnologia para o resto do mundo, novas vulnerabilidades documentadas e que ainda não haviam sido corrigidas pelas fabricantes ou pelos administradores, passaram a ser exploradas por jovens que possuíam ótimos conhecimentos tecnológicos. No primeiro momento, o que esses jovens desejavam era apenas vangloriar­se de seus feitos, eles desfiguravam sites ou mandavam mensagens eletrônicas fingindo serem outras pessoas. Pouco tempo depois os primeiros códigos maliciosos começaram a surgir, mas ainda com o intuito de diversão. Hoje as motivações para os ataques são

as mais diversas, os jovens que brincavam com a computação no início da INTERNET estão adultos, o desenvolvimento das tecnologias e a disponibilidade de informações contribuem largamente para a proliferação das ameaças e ataques virtuais. Podemos destacar as principais motivações para os ataques como sendo emocionais, destrutivas, financeiras, políticas, militares e religiosas. Neste artigo falaremos apenas das ameaças emocionais, nas próximas edições falaremos sobre as demais sempre informando como evitá­las ou minimizar seu impacto. O que podemos falar sobre motivações emocionais? Um término ou descoberta de problemas em um
Janeiro 2012 • segurancadigital.info

24 ARTIGO Segurança Digital relacionamento, uma demissão não esperada (e considerada indevida), clientes ou comerciantes insatisfeitos, ou, o agora tão falado, cyberlbullying. Não são poucos os casos de pessoas que são demitidas ou tem seu relacionamento terminado por informações publicadas nas redes sociais ou que se vingam de seus chefes e parceiros através das mesmas redes sociais. Até mesmo as empresas de RH têm avaliado os perfis nas redes sociais de candidatos a vagas. Crianças, adolescentes e adultos, sofrem diariamente em todo o mundo de ataques de “colegas” ou desconhecidos com mensagens ofensivas relacionadas às suas características físicas ou psicológicas. Por incrível que pareça isso é muito comum, todos fazem ou fizeram e sofrem ou sofreram com isso em maiores ou menores proporções. Aquele seu amigo de anos e anos (ou você mesmo), que é negro ou muito branco, gordo ou muito magro, com orelhas grandes, cabelo engraçado ou qualquer outra característica que sirva de “brincadeiras”, que sofria com suas gozações, pode continuar sofrendo com isso mesmo depois de adulto. O problema atual é que com o avanço da tecnologia e a possibilidade de se tornar anônimo, as “agressões” passaram a ser registradas e, consequentemente, divulgadas para todos (textos, fotos e vídeos), não ficando restrita apenas aos envolvidos (caçador e caça). Há décadas, diversas Escolas e Universidades do mundo têm casos de assassinatos em massa causados por jovens que “sofreram” bullying por seus colegas. Infelizmente no Brasil tivemos um caso similar. Se o bullying contra essas pessoas realmente ocorreu ou não, é outra questão. Muitos falam que antigamente esse tipo de coisa não acontecia, que isso é uma frescura e que as pessoas precisam aprender a lidar com seus problemas. Independente da opinião de cada um, o fato é que o problema existe e pessoas estão sofrendo cada vez mais com ele. Precisamos então pensar em como evitar que o bullying ocorra, como perceber que uma pessoa sofreu danos psicológicos com as “agressões”, e não perder vidas no decorrer do problema, e como evitar publicar informações que possam ser utilizadas contra nós. O uso indiscriminado das redes sociais tem feito com que essa prática aumente assustadoramente, os pais devem ficar atentos ao que seus filhos fazem quando utilizam o computador. Os mesmos cuidados com pedofilia devem ser tomados a fim de manter a proteção deles e de evitar que possam ser causadores de problemas também. Não é incomum os pais se surpreenderem com “coisas” realizadas pelos seus “filhinhos queridos”. Os casos podem se tornar mais agressivos, dependendo do estado emocional que cause “raiva” ou “desejo de vingança” no indivíduo. Já houve casos em que pessoas que não ficaram satisfeitas com o atendimento prestado por vendedores em lojas e resolveram se vingar divulgando informações falsas ou críticas sobre o vendedor ou até mesmo invadindo a loja com um carro. Em um caso grave, um vizinho invadiu a rede wi­fi de outro e acessou diversos sites de pornografia e pedofilia. Após quase causar a prisão e término do casamento da vítima, acabou sendo descoberto por uma investigação policial que foi realizada. Para exemplificar os problemas descritos, nos últimos meses tivemos as seguintes notícias divulgadas nos principais jornais e revistas do país. 1. Dono de churrascaria usa Facebook e Twitter da empresa para xingar cliente que não deu gorjeta ­ [1]; 2. Cyberbullying cresce mais que bullying comum ­ [2];

Janeiro 2012 • segurancadigital.info

Janeiro 2012 • segurancadigital.info

25 ARTIGO Segurança Digital

3. Apple demite funcionário por comentário negativo no Facebook ­ [3]; 4. Facebook é causa de um em cada três divórcios na Inglaterra ­ [4]. Esses são apenas alguns exemplos de casos em que informações publicadas na grande rede podem causar bastante estrago. Em alguns casos mais graves pessoas são mortas ou se suicidam devido à má receptividade de publicações ou por agressões sofridas. Muito se fala em privacidade, mas todos se esquecem dela quando postam seus comentários sobre sentimentos, festas ou amigos, quando postam fotos de viagens lindas e maravilhosas (e o ladrão aproveita para invadir e roubar sua casa), quando elogiam ou criticam estabelecimentos comerciais e produtos. Opiniões, percepções, sentimentos e capacidade de decisão e comunicação são os que nos definem como seres humanos. Precisamos sim nos expressar sobre o que nos agrada ou não, mas precisamos estar preparados para as possíveis consequências. Se você não quer ser avaliado por algo que pense, então não comente. OK, OK, OK, precisamos ficar atentos e minimizar possíveis conflitos, mas como tentar evitar que sejamos um possível alvo? ­ Evite causar a raiva ou conflitos com outras pessoas, o diálogo é sempre a melhor solução; ­ Ative a segurança da sua rede wi­fi; ­ Tenha softwares de segurança no seu computador (antivirus, firewall, controle de conteúdo); ­ Controle o acesso a internet de crianças; ­ Fique atendo a mudanças de comportamento

de filhos e amigos; ­ Evite publicar informações de viagens durante a viagem, caso sua casa esteja vazia; ­ Evite críticas a estabelecimentos enquanto estiver neles ou sem possuir provas; ­ Fale com um advogado caso sofra ameaças ou ofensas constantes; ­ Registre um B.O. caso sinta que corre perigo real.

[1] Link http://www.techtudo.com.br/noticias/noticia/2012/ 01/dono­de­churrascaria­usa­facebook­e­twitter­ da­empresa­para­xingar­cliente­que­nao­deu­ gorjeta.html [2] Link http://info.abril.com.br/noticias/internet/cyberbullyi ng­cresce­mais­que­bullying­comum­22112011­ 23.shl [3] Link http://g1.globo.com/tecnologia/noticia/2011/11/ap ple­demite­funcionario­por­comentario­negativo­ no­facebook.html [4] Link http://idgnow.uol.com.br/internet/2011/12/30/face book­e­causa­de­um­em­cada­tres­divorcios­na­ inglaterra/

Janeiro 2012 • segurancadigital.info

26 ARTIGO Segurança Digital

Entendendo a segurança nas redes sem fio

CONHEÇA AS SOLUÇÕES DE SEGURANÇA EXISTENTES E SAIBA COMO PREPARAR UM AMBIENTE MAIS SEGURO.

POR: Thiago Fernandes Gaspar Caixeta Twitter: @tfgcaixeta E­mail: thiago.caixeta@gmail.com

As redes wireless são hoje amplamente utilizadas em ambientes corporativos e domésticos, devido á fatores como flexibilidade e fácil adaptação ao ambiente, permitindo aos dispositvos se interconectarem em diversos locais dentro de sua área de cobertura. Disponibiliza novos pontos de acesso onde inicialmente não existiam possibilidades de conexão devido há impossibilidade do alcance dos fios e deixa o ambiente mais organizado, além de serem relativamente fáceis de instalar. Mesmo com fatores vantajosos quanto a sua utilização, a tecnologia wireless traz fatores importantes que devem ser observados para que não ocorram problemas no futuro. Um desses fatores é justamente o que na maioria das vezes recebe menor atenção ou não recebe a atenção adequada dos administradores de rede ou usuários domésticos, e é sobre ele que iremos falar: a segurança em redes wireless. Configurações de segurança básicas ou de fábrica já não suportam mais o momento pelo qual passamos e é necessária uma reflexão maior do quanto podemos estar

expostos e quais serão as perdas no caso de algum incidente de segurança. Nos últimos anos a questão de segurança está sendo muito discutida pelos profissionais do meio de TI. As redes wireless também estão sujeitas a ataques e o protocolo 802.11 possui um nível de segurança baixo em sua configuração padrão, o que aumenta ainda mais a preocupação com este aspecto. Ataques como a exploração de configuração padrão de fábrica, access point spoofing (um cracker se faz passar por um access point e o cliente pensa estar se conectando a uma rede wireless legítima), negação de serviço, WEP attack (ataque visando a quebra da chave WEP para accesso á rede), interceptação e monitoramento são alguns tipos de ataques e práticas utilizados com muita eficiência pelos crackers e podem resultar no acesso ou roubo de informações, acesso á redes privadas, invasão de privacidade, obtenção de senhas, utilização indevida dos recursos da rede ou até mesmo indisponibilidade dos serviços, o que pode trazer grande dor de cabeça principalmente às empresas.
Janeiro 2012 • segurancadigital.info

27 ARTIGO Segurança Digital Questões r–lativas a ataqu–s – roubos d– informações ficaram ainda mais evidentes com a onda de ataques de grupos como o LuzSec, com unidades distribuídas ao redor do mundo, causando pânico e medo ás grandes corporações e usuários, gerando dúvidas se realmente estão protegidos. Os usuários acreditavam estarem seguros pois adquiriram seu equipamento de um fornecedor renomado no mercado e seguiram orientações básicas de instalação, ou simplesmente apenas conectaram e alteraram a senha de acesso ao hardware configurado. Em ambos os casos, contextualizando­os ás redes wireless, podemos notar que a desinformação quanto a questões relevantes é bastante visível a esta tecnologia. Assim, nosso objetivo aqui é mostrar soluções de segurança disponíveis para as redes wireless e suas principais características, bem como orientá­los quanto a uma configuração adequada. WEP O protocolo de segurança WEP ­ Wired Equivalency Privacy foi desenvolvido por um grupo de voluntários, membros do IEEE ­ Institute of Electrical Electronics Engineers como proposta de se tornar um mecanismo de segurança para as redes 802.11, com o objetivo que nenhum dispositivo conseguisse se conectar a rede sem uma autorização prévia, autorização esta baseada no fornecimento de uma chave (combinação de caracteres, como uma senha) pré­estabelecida que autorizasse o dispositivo a se conectar a rede wireless. O protocolo WEP é baseado no método de criptografia RC4, podendo ter o comprimento de 64 bits ou 128 bits. Também se propôs a atender a outras necessidades de segurança do padrão criado, visando garantir que as informações trafegadas não fossem ouvidas por terceiros, não autenticados na rede e também não sofressem alterações até chegar a seu destinatário. O grande problema deste padrão é que ele pode ser facilmente quebrado ou craqueado, ou seja, sua chave para acesso á rede pode ser facilmente descoberta até mesmo por usuários com pouco domínio de informática, com o auxílio de softwares específicos. Em seu processo criptográfico para o modelo de 64 bits, o algoritmo RC4 cria a partir da junção de sua chave fixa de 40 bits e uma sequência de 24 bits variável mais conhecida como vetor de inicialização ­ IV uma sequência de bits pseudoaleatórios que, através de operações XOR (Ou Exclusivo) com os dados, geram os dados criptografados a serem transmitidos. É importante ressaltar que no envio dos dados o vetor de inicialização também será enviado. O processo de descriptografia por parte do receptor ocorre de modo inverso, uma vez que este também conhece a chave fixa e o vetor de inicialização foi enviado junto ao pacote. Como o padrão 802.11 não especifica como deve ser a criação e o funcionamento dos vetores de inicialização, dispositivos de um mesmo fabricante podem ter uma sequência igual ou constante destes vetores, dependendo dos critérios designados pelo fabricante. Desta forma os crackers ou usuários mal intencionados podem monitorar o tráfego da rede e analisando uma determinada quantidade de pacotes, poderá descobrir a chave utilizada para acesso á rede sem maiores problemas. WPA Diante dos problemas de segurança apresentados pelo padrão WEP, a Wi­Fi Alliance, uma associação sem fins lucrativos, formada em 1999 para certificar os produtos baseados no padrão 802.11 quanto a sua interoperabilidade, aprovou e disponibilizou em 2003 o protocolo WAP ­ Wired Protected Access, que têm por base os conceitos do padrão WEP nos quesitos de autenticação e cifragem dos dados, mas os realiza de maneira mais segura, mantendo o bom desempenho e a baixo consumo de recursos computacionais que o WEP já proporcionava, sendo totalmente compatível com o hardware já existente, bastando para sua utilização uma simples atualização de firmware. O WPA utiliza o IV com 48 bits visando melhorar sua segurança junto a um protocolo chamado TKIP ­ Temporal Key Integrity Protocol, que se propõe a mesmo que o cracker consiga descobrir a chave para acesso, seu acesso irá durar um tempo restrito,
Janeiro 2012 • segurancadigital.info

28 ARTIGO Segurança Digital pois o TKIP aplica ao processo uma chave temporária que irá expirar em poucos segundos e será necessária uma nova, ou seja, o invasor terá que invadir a rede novamente para que consiga uma nova chave uma vez que esta é alterada a cada pacote e sincronizada novamente entre o cliente e o access point da rede. 802.1x O padrão 802.1x foi definido pelo IEEE e tem sido muito utilizado nas redes sem fio, porém demanda uma infraestrutura superior aos outros métodos para o seu bom funcionamento. O protocolo WPA citado anteriormente utiliza este padrão para resolver os problemas relativos a autenticação que vieram incorporados do protocolo WEP. Este protocolo visa controlar o acesso ás redes baseado em portas, sendo possível também o controle baseado na autenticação mútua entre o cliente e a rede, através de servidores de autenticação do tipo RADIUS ­ Remote Authentication Dial In User Service para que, de acordo com a Microsoft, "definir um padrão popular usado para manter e gerenciar autenticação de usuário remoto e validação". Este padrão utiliza um protocolo de autenticação chamado EAP­Extensible Authentication Protocol, que realiza o gerenciamento da autenticação mútua no processo de autenticação. Existem algumas possibilidades que podem ser usadas como métodos de autenticação: uso de senha, certificado digital ou token, o que aumenta significativamente o nível de segurança. A autenticação ocorre com a participação de três partes: o suplicante, que é o usuário que deseja ser autenticado, o servidor RADIUS, que realiza a autenticação dos requisitantes e o autenticador, que é quem intermedia esta transação entre as partes citadas inicialmente, papel este designado ao access point. O processo de autenticação se inicia com o suplicante e é logo detectado pelo autenticador, que abre a porta pra o suplicante. Em seguida o autenticador solicita a identidade de acesso ao suplicante, que envia a informação solicitada. Ao receber a identidade, esta é repassada pelo autenticador ao servidor RADIUS para que este autentique o suplicante, devolvendo ao autenticador uma mensagem de ACCEPT, ou seja, uma confirmação que a autorização fora concedida. Assim o tráfego é liberado pelo autenticador ao suplicante, que logo em seguida solicita a identidade ao servidor para que ele o autentique e assim o tráfego dos dados seja liberado. Este tipo de autenticação é mais utilizada em ambientes empresariais, porém pode ser utilizada em ambiente doméstico, configurando­se a rede para que o próprio suplicante assuma o papel do servidor RADIUS no processo descrito anteriormente. Este modelo pode ser encontrado também em alguns dispositivos com o nome de WPA Enterprise ou WPARADIUS. 802.11i/WPA2 O padrão O IEEE 802.11i, também conhecido com WPA2, foi desenvolvido com o intuito de se obter um nível de segurança ainda mais aprimorado que o protocolo WPA, que mesmo tendo diversas melhorias em relação ao WEP, ainda era desejo de todos ter um esquema de segurança mais forte e confiável. Uma grande inovação deste padrão é a substituição do método criptográfico do WPA, o TKIP, por outro método mais seguro e eficiente. O método escolhido, o AES ­ Advanced Encryption Standard, conhecido também por algorítimo de Rijndael, oferece chave de tamanhos 128, 192 e 256 bits e é resistente a vários tipos de técnicas conhecidas de análises criptográficas, sendo amplamente utilizado em soluções que visam um nível de segurança mais sofisticado. Este novo padrão implementa um novo tipo de rede wireless denominado de rede robusta de segurança ou RSN ­ Robust Security Network, que é composto por duas partes: o método de criptografia AES para a criptografia do tráfego nas redes sem fio e o padrão IEEE 802.1x para a autenticação e o gerenciamento da chave criptográfica. A utilização deste padrão é mais recomendada para quem possui uma boa capacidade de processamento, equipamentos compatíveis e deseja obter um nível
Janeiro 2012 • segurancadigital.info

29 ARTIGO Segurança Digital de segurança superior aos outros protocolos, sendo necessária uma avaliação da infraestrutura existente a fim de se verificar se os dispositivos existentes suportam essa nova tecnologia. O papel dos filtros nas redes sem fio Você pode ainda aumentar o nível de segurança de sua rede utilizando­se dos filtros de SSID, endereço MAC e protocolos. SSID ­ Service Set Identifier, é o nome do ponto de acesso á rede sem fio configurada. Ocultar o SSID da rede pode torná­la "invisível" perante terceiros e teoricamente só quem possuir o SSID da rede e as credenciais de acesso terão como acessá­la, porém com a utilização de um software específico (um sniffer) é possível descobrir o SSID de uma determinada rede. Isto é possível pois os access points enviam de tempos em tempos este SSID para que seus clientes possam se comunicar, quando não configurados manualmente na máquina cliente. Assim, com pouco tempo de monitoramento será possível descobrir o SSID, e para possíveis invasores este poderá ser o pontapé inicial para sua tentativa de invasão. Os endereços MAC ­ Media Access Control são números únicos e exclusivos que identificam um dispositvo de rede. Funcionam como a identidade do dispositivo perante aos inúmeros dispositivos de redes existentes em uma rede IP e muitas vezes são chamados de endereços físicos, atuando na camada dois do modelo OSI. Com a utilização do filtro por endereços MAC, é possível que você especifique quais dispositivos poderão acessar a sua rede ou em alguns casos quais dispositivos não poderão acessar a sua rede. Esta configuração é realizada diretamente no access point da rede de forma manual, e a cada tentativa de conexão será verificado o MAC do solicitante a fim de constatar se este está ou não inserido na lista de MACs permitidos ou negados do access point, impedindo ou não a sua comunicação com a rede. Em um primeiro momento parece ser um método interessante de filtragem, mas também possui problemas que o inviabilizam como um método forte de segurança. Em qualquer tipo de ambiente de rede, se um dispositivo de rede for roubado ou perdido, caso o fato não seja comunicado aos administradores da rede, quem possuir este dispositivo poderá se conectar á rede e ter acesso completo a ela , pois seu endereço MAC encontra­ se cadastrado no access point. Outro problema, assim como na filtragem por SSID, são a utilização de sniffers por invasores, que podem descobrir e utilizar um endereço MAC válido clonando­o em seu dispositvo para utilizar a rede desejada. É um método que pode auxiliar na segurança de rede, porém seu uso é mais voltado para ambientes domésticos ou pequenas redes corporativas, uma vez que todo o processo deve ser realizado de forma manual tornando seu gerenciamento bastante complicado. Outra possibilidade visando aumentar a segurança de sua rede é utilizar filtros de protocolos, filtrando os pacotes que trafegam na rede. Existe a possiblidade de criar filtros para os protocolos HTTP, HTTPS, SMTP, FTP, etc. que iriam filtrar o tráfego destes protocolos, restringindo os demais e aumentando assim o nível de segurança. Estas opções são interessantes dependendo do tipo de ambiente, no entanto vale lembrar que são apenas opções auxiliares a um método de segurança mais completo, pois não oferecem a segurança necessária quando implementados individualmente, podendo deixar a rede exposta e vulnerável. Dicas para tornar seu ambiente wireless mais seguro

• A primeira coisa a fazer é ler o manual do
fabricante. Ele contém informações importantes sobre a configuração e aspectos de segurança da rede; fisicamente o access point preferencialmente longe de portas e janelas. Faça alguns testes com a intensidade do sinal e caso possível, regule o access point para que o sinal fique restrito apenas ao ambiente em que será utilizado;

• Instale

• Atualize o firmware do access point para a

Janeiro 2012 • segurancadigital.info

30 ARTIGO Segurança Digital versão mais recente. Poderá haver updates de segurança ou melhorias nessas atualizações;

• Caso viável, desabilite o serviço de DHCP.
Atribua endereços de IP fixos aos clientes. Assim possíveis invasores não irão conhecer a faixa de ips que sua rede trabalha, conseguindo menores informações sobre ela. Você pode também limitar número de endereços ips disponíveis á sua rede a quantidade exata que precisar;

• Altere as configurações padrões de fábrica de
seu dispositivo, como nome padrão do SSID (coloque um nome que não reflita grande importância ao local em que a rede está instalada. Ex.: Um banco nomear a rede como "Rede Wireless Banco X" pode chamar mais atenção), senha de acesso á interface de administração (utilize senhas fortes, com números, letras maiúsculas, letras minúsculas e caracteres especiais com no mínimo oito caracteres);

• Monitore constantemente sua rede wireless.
Os access point possuem interfaces para acompanhar em tempo real quais dispositivos estão conectados a ela, assim como logs que registram o tráfego da rede contendo informações como autenticações, acessos autorizados e indevidos, dentre outros. Desconfie se notar algo fora do comum em sua rede como por exemplo lentidão excessiva em determinados horários do dia ou qualquer outra situação que fuja do uso normal ao qual você já está acostumado;

• Habilite um tipo de encriptação para a rede. Dê
preferência ao WPA e se disponível o WPA2. Caso possua um ambiente com um número maior de clientes e seja necessário um nível de segurança maior você pode habilitar um servidor RADIUS também;

• Em certos ambientes você pode fazer uma
combinação de soluções utilizando os filtros, como por exemplo filtros por endereço MAC + WPA/ WPA2, etc. + filtros por protocolos, ou algum outro tipo de combinação com estas soluções, tornando mais completa sua solução de segurança para sua rede;

• Mantenha seu ambiente computacional sempre atualizado com firewall e antivírus devidamente configurados e atualizados. Isto é importante para todo o seu trabalho realizado no computador, mas também irá auxiliar em sua proteção contra algo mal intencionado proveniente da rede..
Curiosidades: Wardriving e Warchalking Wardriving é uma prática que consiste em uma pessoa andar pelas ruas da cidade munida de dispositivos com acesso ás redes sem fio e softwares com o objetivo de tentar localizar, identificar, e registar características e posições destas redes, sejam elas redes corporativas ou domésticas. No caso de pessoas mal intencionadas, possivelmente estas redes estarão sujeitas a invasão. A prática surgiu nos Estados Unidos com Peter M. Shipley, um especialista em segurança de rede e telecomunicações que em 2001 conseguiu interceptar e gerenciar um sinal de rede wireless entre o transmissor e receptor a uma distância de quarenta quilômetros entre eles. Para as empresas, pode ser de grande valia, pois
Janeiro 2012 • segurancadigital.info

• Você pode também desabilitar o broadcast de
SSID, mas fazendo isso você deve informar o SSID da rede ao cliente e o mesmo deverá realizar a conexão informando o SSID de forma manual. Isso pode deixar sua rede menos exposta a terceiros em um primeiro momento; Se disponível e compatível com os serviços que serão disponibilizados na rede, habilite o firewall do dispositivo;

• Desabilite a opção para gerenciamento do
access point através da rede sem fio, deixando­o gerenciável somente pela rede cabeada, assim como se existente, desabilitar a opção de gestão remota do dispositivo;

31 ARTIGO Segurança Digital seus profissionais de segurança podem sair a procura de falhas ou vulnerabilidades em suas próprias redes com o intuito de melhorá­las. Pode ser também considerado um passatempo ou hobby para algumas pessoas, seja por diversão ou apenas curiosidade técnica sem maiores intenções. Existe também a possibilidade da busca por acesso livre a internet ou invasão das redes com objetivos diversos, o que pode acarretar problemas legais para seus praticantes em caso de acesso não autorizado, que no Brasil é respaldado pelo Código Penal Brasileiro em sua Seção V ­ Dos Crimes contra a inviolabilidade de sistemas informatizados, no Art. 154 ­ A que diz que acessar, indevidamente ou sem autorização, meio eletrônico ou sistema informatizado pode gerar uma penalidade de detenção de três meses a um ano e ainda multa. No entanto a prática não é detectada facilmente, assim a aplicação de qualquer punição torna­se muito difícil. No Brasil existe um movimento chamado WardrivingDay, criado com o objetivo de "educar e alertar sobre a importância da área de segurança da informação, especialmente em seu aspecto técnico", ressaltando frequentemente a importância da segurança da informação, principalmente nas redes em fio. O projeto é composto de pesquisas realizadas nas redes sem fios encontradas pelas ruas, em que vários dados são coletados e comparados com a pesquisa anterior visando verificar o nível de segurança anterior e o que mudou após determinado tempo, se foram tomadas medidas objetivando uma melhoria na segurança das redes encontradas com falhas de segurança ou não, gerando dados estatísticos importantes para a área de segurança. O Warchalking também surgiu nos Estados Unidos, em 1929 com a criação de uma linguagem de marcas feitas de giz ou carvão criada por andarilhos com o objetivo de deixar marcado para tercerios o que estes poderiam encontrar naquele determinado lugar, por exemplo demonstrar que aquele lugar poderia lhes prover algum tipo de alimento. O conceito estendeu­se ás redes sem fio e adeptos desta prática deixam marcas nas calçadas das ruas indicando a posição de redes em fio, se esta é aberta (OpenNode), se é fechada para conexão (Closed Node), qual a largura de banda utilizada ou utilizam criptografia em aspectos de segurança (WEP Node).

Conclusão As redes sem fios são sem dúvida bastante interessantes, seja para uso em ambientes domésticos ou corporativos. No entanto é importante conhecer os aspectos de segurança envolvidos em sua operação para que possa ser utilizada com eficiência e de modo seguro, diminuindo os riscos com relação a possíveis invasões e/ou vazamento de informações que possam lhes trazer vários problemas. Não existe uma receita pronta de segurança para as redes wireless, você deverá pensar qual a combinação mais adequada para sua situação, de acordo com os recursos disponíveis e o nível de proteção desejado.

Janeiro 2012 • segurancadigital.info

32 ARTIGO Segurança Digital Bibliografia
AGUIAR, Paulo Américo. Disponível em: <http://www.ccet.unimontes.br/arquivos/monografias/73.pdf>. Acesso em: 17 de jan 2012. ANTI­INVASÃO. Disponível em: <http://www.anti­invasao.com/segurancawireles.htm>. Acesso em: 16 de jan 2012. BATTISTI, Júlio. Disponível em: <http://www.juliobattisti.com.br/tutoriais/paulocfarias/redeswireless033.asp/>. Acesso em: 16 de jan 2012. BRADLEV, Tony. Disponível em: <http://netsecurity.about.com/od/quicktip1/qt/qtwifistaticip.htm>. Acesso em: 18 de jan 2012. CERT BR. Disponível em: <http://cartilha.cert.br/bandalarga/sec2.html>. Acesso em: 18 de jan 2012. COMPUTAMANIA. Disponível em: <http://www.computarmania.com/dicas­de­seguranca­para­a­sua­rede­ wireless>. Acesso em: 17 de jan 2012. COMPNETWORKING. Disponível em: < http://compnetworking.about.com/cs/wireless/g/bldef_wardrive.htm>. Acesso em: 18 de jan 2012. FERREIRA, Rui Cardoso Alexandre. Disponível em: < http://www.fc.up.pt/fcup/contactos/teses/t_040370023.pdf>. Acesso em: 18 de jan 2012. PAULO, Márcio. Disponível em: <http://redeswirelessdf.blogspot.com/2008/05/vantagens­e­desvantagens­das­ redes­sem.html>. Acesso em: 17 de jan 2012. PEREIRA, Hélio. Disponível em: <http://www.ginux.ufla.br/files/artigo­HelioPereira.pdf>. Acesso em: 17 de jan 2012. LEOCADIO, Ricardo. Material didático, MBA em Gestão da Segurança da Informação. LINKSYS. Disponível em: <http://www.linksysbycisco.com/LATAM/pt/learningcenter/HowtoSecureYourNetwork­ LApt>. Acesso em: 16 de jan 2012. LUCAS, Weverton. Disponível em: <http://www.jacomparou.com.br/artigos/protocolos­de­seguranca:­ como­ proteger­sua­rede­wireless>. Acesso em: 09 de jan 2012. WARDRIVING DAY. Disponível em: <http://www.wardrivingday.org/>. Acesso em: 18 de jan 2012. WEBARTIGOS. Tecnologias em redes em fio. Disponível em: <http://www.webartigos.com/artigos/tecnologias­ em­redes­sem­fio/5440/>. Acesso em: 16 de jan 2012. BRASIL. Disponível em: <http://www.wirelessbrasil.org/wirelessbr/colaboradores/rodney_peixoto/seguranca_wireless.html>. Acesso em: 18 de jan 2012.

Janeiro 2012 • segurancadigital.info

33 ARTIGO Segurança Digital

Questões de CISSP
ATUALMENTE A CISSP É UMA DAS CERTIFICAÇÕES MAIS PROCURADAS PELOS PROFISSIONAIS. NO BRASIL, A POPULARIDADE DO EXAME TEM FEITO A (ISC)2 AGENDAR DIVERSAS PROVAS AO LONGO DO ANO.
POR: Cláudio Dodt E­mail: ccdodt@gmail.com Blog: www.claudiododt.wordpress.com br.linkedin.com/pub/cl%C3%A1udio­dodt/5/1a4/723

CISSP – Questões comentadas: O CISSP (Certified Information System Security Professional) tem duas facetas básicas. Se por um lado é uma das certificações mais desejada pelos profissionais da área de segurança, por outro é reconhecidamente uma das provas mais exigentes do mercado.
O objetivo desta coluna nunca foi preparar possíveis candidatos, mas sim mostrar que apesar de ter um nível elevado, a prova do CISSP não é nenhum bicho de sete cabeças, especialmente se você já tem experiência prática em alguns dos domínios (CBK ­ Common Body of Knowledge). Seguem as questões, dessa vez selecionamos algumas com as famosas “pegadinhas” e a única dica que eu tenho para este caso é ler a questão, reler a questão e por último, repetir os passos anteriores até você sentir que está seguro o bastante. Se isso não funcionar, bem.. você sempre pode recorrer a um velho e bom FUS RO DAH!

Questão 01: Que tipo de ataque envolve a distribuição de um conteúdo falsificado a fim de que um usuário tome uma decisão incorreta que afeta aspectos relevantes da segurança da informação: a) Ataque de Falsificação (Spoofing) b) Ataque de vigilância (Surveillance attack) c) Ataque de engenharia social d) Ataque homem­no­meio (Man­in­the­middle)
Resposta correta: C Dificuldade: 3/5 Esta não é uma questão especialmente difícil, especialmente se levarmos em consideração a atenção que o assunto engenharia social tem levado nos últimos anos. A pegadinha aqui é que tanto um ataque de spoofing como engenharia social envolvem algum tipo de conteúdo falsificado. Entretanto, apenas a resposta correta requer o contato com o usuário mencionado no enunciado da questão.
Janeiro 2012 • segurancadigital.info

34 ARTIGO Segurança Digital

Questão 02:

Durante uma avaliação do risco você identificou os seguintes valores para o par ameaça / risco de um ativo específico: Valor do ativo (VA) = R$ 100.000,00 Fator de exposição (FE) = 35% Se a Taxa anual de ocorrência (TAO) é de 5 vezes por ano, o custo de uma contingência recomendado é de R$ 5000 por ano, o que irá reduzir a expectativa de perda anual pela metade. Qual é a expectativa de uma única perda (SLE ­ Single Loss Expectancy)? a) R$175.000 b) R$35.000 c) R$82.500 d) R$123.500 Resposta correta: B Dificuldade: 3/5 Uma resposta simples. O cálculo de uma perda única é definido como o valor do ativo (VA) x o fator de exposição (FE) = 100.000 * 35% = 35.000,00. Opa, a prova é de CISSP ou de matemática! Calma, todos os cálculos que são exigidos no exame são simples (e não! Você não pode usar uma calculadora!). O item A representa o ALE (Annual Loss Expectancy – Perda anual esperada) que não é nada além da resposta anterior multiplicada pela taxa de anual de ocorrência. O item c também é o ALE desde que a contingência seja efetivada. O item d é uma mera distração. Como podemos ver, a maior dificuldade nesta questão é o excesso de informação fornecida durante o enunciado. Uma boa dica é nunca se assustar com uma questão aparentemente complexa. Muitas das informações no enunciado e também nas respostas são apenas distrações. A melhor dica é RTFQ! (read the f*** question), leia a questão atentamente e busque entender o que realmente está sendo pedido.

Questão 03

A entrada em uma área segura exige um cartão de proximidade durante o horário normal de expediente e o uso do mesmo cartão seguido de uma senha para acesso fora do horário de trabalho. Qual é o controle de segurança que deve ser adotado por uma porta secundária? a) O mesmo controle da porta principal por motivos de padronização b) Uma chave codificada c) Abertura automática com sensores de movimento d) Uma barra de pânico. Resposta correta: D Dificuldade: 3/5 Uma questão bem interessante e com uma pegadinha razoável. A resposta correta é a D. Idealmente uma área segura (e.g. Datacenter) deve ter apenas uma única entrada. Entretanto, uma porta secundária pode ser exigida por motivos de segurança e as pessoas precisam poder sair facilmente (acredite, no caso de um incêndio você vai querer uma saída de emergência) porém esta segunda porta não deve ser usada como entrada. Todas as outras respostas assumem que a porta secundária seria utilizada para entrada e saída, e por isso estão incorretas.
Janeiro 2012 • segurancadigital.info

35 ARTIGO Segurança Digital

Questão 04

Em que camada do modelo OSI um pacote pode ser corrigido no nível de bit? a) Nível 2 b) Nível 3 c) Nível 4 d) Nível 5 Resposta correta: A Dificuldade: 5/5 Como assim Bial? A pergunta mais fácil é a que teve o maior nível de dificuldade? Até um estudante de primeiro semestre de faculdade conhece o modelo OSI! Sim, a questão é aparentemente simples, a resposta é a Camada 2 (Camada de Enlace ou Ligação de Dados), mais especificamente o sub nível MAC (Media Access Control) que realiza controle de erro. A camada 4 (transporte) também faz controle de erro mas é baseado em pacotes e não bits. O importante aqui é ver que mesmo um assunto bastante discutido como modelo OSI pode ser exigido de uma forma complexa. Agora imagine isso para todo o conteúdo “técnico” do exame e lembre que nem todo mundo que busca fazer o CISSP tem foco técnico no dia a dia do trabalho. É amigo, não está fácil para ninguém! A dica aqui é conhecer seus pontos fortes e fracos e dedicar a atenção necessária durante a preparação para o exame. Se você é eminentemente técnico, reforce os demais assuntos do CBK e procure ter uma visão “gerencial” e vice versa.

Janeiro 2012 • segurancadigital.info

36 ARTIGO Segurança Digital

Testes de Intrusão - Que Benefícios Podem Trazer para Sua Organização?

POR: Bruno Cesar M. de Souza Site: www.ablesecurity.com.br E­mail: bruno.souza@ablesecurity.com.br

Durante todo o ano de 2009, tive a oportunidade de trabalhar no mercado de segurança da informação no Reino Unido, Inglaterra. Ao iniciar os trabalhos na equipe de pentest (abreviação de “penetration test” ou “teste de invasão”) da consultoria inglesa onde trabalhava, fiquei impressionado com a altíssima demanda por serviços de testes de intrusão naquele país. Não somente estava trabalhando em uma equipe com um número considerável de consultores especializados em testes de invasão como também havia uma demanda alta e constante para este tipo de serviço por parte de organizações, de diversos segmentos, do setor público e privado. Surpreendeu­ me, positivamente, também o fato de que até mesmo algumas empresas de médio e pequeno porte se preocupavam em realizar este tipo de serviço para avaliar, por exemplo, a segurança de alguma nova aplicação web que estava sendo disponibilizada na Internet. Ao fazer estas observações, contrastava com o cenário do mercado de segurança da informação no Brasil, onde já havia feito diversos testes de invasão para organizações nacionais e multinacionais, porém notava que, com raras exceções, apenas empresas

de grande porte de alguns segmentos, com maior maturidade em SI, solicitavam este tipo de serviço com regularidade. Não era incomum descobrir, ao realizar outros tipos de serviço de consultoria em SI, que algumas organizações de grande e médio porte no Brasil não davam importância para este tipo de avaliação. A falta de preocupação ou desconhecimento de algumas empresas e segmentos de negócio neste campo me surpreende até hoje. Para citar exemplos, no Reino Unido era frequente realizar testes de intrusão para universidades, escritórios de advocacia e empresas de saúde. Por que há diferença entre o mercado de SI no Brasil e no Reino Unido?

A Necessidade de Aderência a Leis e Normas Certamente, um dos principais motivos para esta diferença significativa de investimento das organizações do Reino Unido, e de outros países com maturidade semelhante em SI, é a existência há mais de 10 anos de leis e normas específicas que podem acarretar em severas punições para organizações de diversos segmentos e de diferentes portes que não mantém bons padrões de segurança da informação ou que sofram violações de
Janeiro 2012 • segurancadigital.info

37 ARTIGO Segurança Digital segurança, permitindo roubo ou divulgação de dados sensíveis, como dados pessoais. No Reino Unido existe o UK Data Protection Act 1998, que estabelece regras para o processamento de informações pessoais, sendo aplicável tanto a registros em papel como a registros em computadores, incluindo até mesmo fotos e vídeos. Estas regras incluem a obrigação de garantir a segurança dos dados pessoais armazenados, e comunicar às autoridades e pessoas envolvidas sobre qualquer ocorrência de violação. Deve­se ressaltar, contudo, que desde 2010 diversas empresas brasileiras, as quais realizam transações envolvendo dados de cartão de crédito ou débito, precisam aderir ao PCI DSS (Payment Card Industry – Data Security Standard ). O requisito 11.3 do PCI DSS versão 2.0 estabelece o seguinte: “realizar testes de penetração externos e internos pelo menos uma vez por ano e após qualquer upgrade ou modificação significativa na infraestrutura ou nos aplicativos”. E acrescenta que dois tipos de teste de intrusão devem ser realizados: “testes de penetração na camada da rede” e “testes de penetração na camada do aplicativo”. A lei Sarbanes­Oxley sancionada nos Estados Unidos em 2002 é uma reação aos escândalos de fraudes contábeis que assolaram grandes empresas americanas na década de 90. Empresas brasileiras registradas na SEC (Securities and Exchange Commission ) e que atuam na bolsa de Nova Iorque precisam estar em conformidade com a Sarbanes­ Oxley, ou, SOX como é conhecida. As seções 302 e 404 da SOX estabelecem a necessidade de avaliar a eficácia dos controles internos e emitir um relatório para a SEC anualmente. Esta avaliação precisa ser revisada e julgada por uma empresa de auditoria externa. Embora a SOX não trate de forma específica segurança da informação, o fato é que os sistemas de relatório financeiro são altamente dependentes da tecnologia da informação e assim qualquer auditoria de controles internos deve também tratar aspectos de segurança da informação. O ITGI (Information Technology Governance Institute) criou um conjunto de objetivos de controle para a SOX baseado nos padrões COSO e COBIT. Um dos objetivos de controle trata de “Segurança de Redes”. Segundo o SANS Institute, para aderir aos controles necessários de segurança pode ser apropriado também realizar testes independentes de segurança de redes: “isto pode incluir Ethical Hacking, ou teste de penetração por um serviço de terceiro” (SANS Institute ­ An Overview of Sarbanes­Oxley for the Information Security Professional ). Os famosos padrões para gestão de segurança da informação ISO/IEC 27001 e 27002 são códigos de boas práticas de segurança da informação. A ISO/IEC 27001 estabelece o controle A.15.2.2, “verificação da conformidade técnica”, que diz: “Os sistemas de informação devem ser periodicamente verificados quanto à sua conformidade com as normas de segurança da informação implementadas”. E a ISO/IEC 27002 recomenda: “a verificação de conformidade também engloba, por exemplo, testes de invasão e avaliações de vulnerabilidades, que podem ser executados por especialistas independentes contratados especificamente para este fim. Isto pode ser útil na detecção de vulnerabilidades do sistema e na verificação do quanto os controles são eficientes na prevenção de acessos não autorizados devido a estas vulnerabilidades”. Vale ressaltar que as organizações no Brasil, em geral, não possuem obrigação de conformidade com estes padrões, não obstante, muitas empresas que precisam evidenciar boas práticas de segurança da informação para os acionistas, parceiros e clientes adotam como meta a obtenção e manutenção da certificação ISO/IEC 27001. E, sem dúvida, empresas que querem levar a sério segurança da informação deveriam adotar estes padrões. Apesar de algumas empresas brasileiras estarem sujeitas a normas como o PCI DSS e a Sarbanes­ Oxley, muitos segmentos de negócio, incluindo empresas nacionais de médio porte e até mesmo de grande porte, bem como órgãos do governo, não estão ainda sob a pressão de leis ou normas que, por si só, obriguem a organização a manter um nível de maturidade mínimo em segurança da informação. Vimos até aqui que uma das razões para as
Janeiro 2012 • segurancadigital.info

38 ARTIGO Segurança Digital organizações levarem a sério a realização de avaliações de segurança, incluindo a abordagem de testes de invasão, é a aderência a normas e padrões como o PCI­DSS, Sarbanes­Oxley e ISO/IEC 27001. E o que dizer das organizações no Brasil a princípio não obrigadas a demonstrar aderência a estas e outras normas semelhantes? Vejamos porque isto não é uma desculpa para estas organizações serem negligentes com a realização de testes de segurança. empresa estimou uma perda financeira em aproximadamente 171 milhões de dólares diretamente relacionada aos incidentes de invasões. Para completar, foram abertos em 2011 alguns processos judiciais, alegando que a empresa foi negligente na proteção de seus sistemas e dados sensíveis de clientes. A seguinte pergunta surge: esta empresa não era aderente ao PCI DSS? Não há informação pública clara sobre a aderência desta empresa ao PCI DSS quando ocorreu a brecha. Aliás, suspeita­se que a empresa, mesmo devendo estar, não estava aderente em virtude das falhas que possivelmente foram exploradas como “SQL Injection” e software de rede desatualizado (nota: há uma acusação de que a rede de videogame utilizava o software de servidor web “Apache” em uma versão desatualizada, com falhas de segurança conhecidas) – vulnerabilidades que claramente violam requisitos do PCI DSS. De qualquer forma, pode­se questionar: caso tenha sido realizado, foram utilizados profissionais qualificados para fazer um legítimo teste de intrusão de forma regular? E talvez a pergunta mais importante seja: as vulnerabilidades identificadas no último teste de intrusão foram corrigidas antes do incidente? O fato é que se esta organização já tivesse um processo de realização de testes de invasão regulares, nos sistemas envolvidos, realizados por profissionais qualificados, acompanhado de um processo eficiente de correção das vulnerabilidades identificadas, provavelmente estes incidentes teriam sido evitados. Embora incidentes como este sejam às vezes divulgados pela mídia, tenha certeza: muitos incidentes sérios de invasão nunca serão divulgados, mesmo havendo sérios prejuízos financeiros, especialmente em países sem legislação específica, como o Brasil. E algumas organizações contam apenas com a sorte para não terem tido ainda alguma problema grave. Se a sua empresa oferece serviços na Internet, para clientes, parceiros ou colaboradores, reflita sobre as seguintes questões:

Negligência na Realização de Testes de Segurança pode Custar Caro Os recentes incidentes de invasão, amplamente noticiados na mídia, com a rede de videogame e outros serviços online de um famoso grupo de entretenimento e tecnologia demonstram o impacto ao negócio que a negligência com segurança de TI pode causar. Em 19 de Abril de 2011, esta empresa descobriu que a sua rede de videogame havia sido invadida, resultando na decisão de desligar esta rede no dia 20 de Abril. Dois dias depois, a empresa confirmou que os servidores da rede de jogos online foram comprometidos e em 26 de Abril a empresa confirmou publicamente o roubo de informações pessoais de clientes. A rede, utilizada para jogar e comprar jogos online, ficou indisponível para os usuários do seu famoso videogame por aproximadamente 23 dias. Informações pessoais de 77 milhões de contas foram roubadas, incluindo nomes de usuário, senhas, respostas a perguntas secretas, endereços, datas de aniversário, endereços de email e possivelmente dados de cartão de crédito. Em 05 de Maio, o site de entretenimento online deste mesmo grupo também foi invadido, permitindo o roubo de informações pessoais de 24,6 milhões de clientes, incluindo datas de aniversário, endereços de email, números de telefone, aproximadamente 12.700 dados de cartão de crédito e débito, bem como aproximadamente 10.700 dados de conta bancária para débito automático. Em dias posteriores, noticiou­se que alguns sites do grupo ao redor do mundo foram invadidos, permitindo a desfiguração do web site e/ou roubo de mais informações. Além do evidente dano de imagem para um grupo detentor de uma famosa marca, ainda em Maio de 2011, a própria

Janeiro 2012 • segurancadigital.info

39 ARTIGO Segurança Digital site ficasse indisponível por várias horas ou até mesmo dias? Os meus clientes poderiam trocar o meu site pelo site de um concorrente? meus atuais e potenciais clientes em realizar transações financeiras ou inserir dados pessoais no site da minha organização? judiciais em decorrência de vazamentos de informações sensíveis de clientes, parceiros ou colaboradores? notícia falsa no site da minha organização? perda de credibilidade com patrocinadores e acionistas?

• Qual poderia ser o impacto financeiro se este

atacada através de intrusões em sistemas de CFTV com tecnologia IP e de controle de acesso físico; smartphones, podem ser invadidos e controlados remotamente para roubo de informações sensíveis e realização de espionagem. Por exemplo: imagine a possibilidade real de um atacante ligar a câmera e microfone de um laptop para realização de espionagem. Com minha experiência posso afirmar que não são poucos os gestores de segurança e de TI que acreditam que suas informações mais valiosas armazenadas em servidores internos e seus sistemas internos mais críticos não podem ser acessados por atacantes externos, já que estes sistemas estariam atrás de firewalls e outros mecanismos de proteção. Vejamos se este raciocínio é bem fundamentado.

• Qual poderia ser o impacto na confiança dos

• Computadores móveis, como laptops e

• A organização poderia sofrer processos

• Quais seriam os potenciais danos com uma • Um ataque bem sucedido poderia resultar em
investidores,

Estes são apenas alguns exemplos de perguntas que podem ser feitas em uma análise de impacto. Há também outras sérias ameaças que muitas organizações ignoram quando se trata de ataques cibernéticos externos ou internos: fazer com que sistemas internos críticos para a organização fiquem indisponíveis por um tempo maior do que aceitável; podem ser roubadas de servidores ou estações do ambiente interno; acessos não autorizados a sistemas;

• Um ataque direcionado de sabotagem pode

• Informações estratégicas para o negócio • Fraudes podem ser realizadas através de

• Serviços de correio eletrônico (email), de videoconferência, de mensagem instantânea, e outros, podem ser violados para realização de espionagem e outras ações maliciosas; • Até mesmo a segurança física pode ser

A Utilização de Produtos de Segurança Não é Suficiente A fabricante de produtos de segurança Mcafee alertou, em Agosto de 2011, sobre a descoberta de um ataque sofisticado que teria comprometido 72 organizações desde 2006, incluindo a ONU (Organização das Nações Unidas) e o Comitê Olímpico Internacional (COI), permitindo roubo de informações. Em 2010, a operação conhecida como “Aurora”, que suspeita­se ter sido realizada por uma organização da China, comprometeu o Google e outras empresas de tecnologia. O interessante é que estes ataques tiveram características em comum: foram ataques sofisticados, direcionados, passaram muito tempo sem serem detectados e permitiram acessos não autorizados à rede interna da organização. Estes ataques direcionados receberam a denominação de “Ameaças Avançadas Persistentes” ou “APT – Advanced Persistent Threats”. Estes ataques são uma prova incontestável de que os produtos de segurança adotados pelas grandes corporações não são suficientes para impedir ataques sofisticados.
Janeiro 2012 • segurancadigital.info

40 ARTIGO Segurança Digital É importante esclarecer que sou totalmente a favor do uso das ferramentas de segurança, pois estas ajudam consideravelmente na redução dos riscos. No entanto, é um grave erro sustentar toda a segurança da informação de uma organização no uso de produtos. Um firewall, por exemplo, tem como função básica liberar e bloquear o acesso a portas e serviços de rede. Um atacante pode justamente explorar vulnerabilidades nos protocolos e serviços de redes autorizados, não bloqueados pelo firewall. Como um firewall tradicional seria capaz de bloquear um ataque em uma aplicação web da sua organização, disponível pela Internet na porta 80/tcp que está liberada pelo firewall? A tecnologia de IPS pode ser uma forte barreira contra atacantes, especialmente para os chamados “script kiddies”, que são atacantes com conhecimento técnico superficial e que dependem totalmente de ferramentas e “receitas de bolo” disponíveis na Internet. Contudo, pesquisadores de segurança e profissionais experientes em testes de intrusão sabem que as assinaturas de IDS / IPS podem muitas vezes ser contornadas (veja alguns exemplos de técnicas para burlar soluções de IDS e IPS na seguinte apresentação realizada na conferência de segurança da informação, Black Hat, Las Vegas, 2006: IPS Shortcomings ­ http://www.blackhat.com/presentations/bh­usa­ 06/BH­US­06­Bidou.pdf). Assim como as soluções de IPS, existem técnicas para burlar a detecção de ataques por parte de WAF (Web Application Firewalls), que são ferramentas dedicadas a detectar e bloquear ataques em aplicações web. Por exemplo, um atacante pode utilizar caracteres especiais e codificações de caracteres (como Unicode) para criar variações em um ataque de SQL Injection ao ponto de não ser detectado por uma ferramenta de WAF. tenta comprometer a segurança da informação de uma organização, seja através da Internet, de uma aplicação web específica, da rede interna da organização, de uso de técnicas de enganação (engenharia social) e até mesmo explorando falhas de controles de acesso físico. O teste de intrusão procura não apenas detectar vulnerabilidades de segurança, mas também comprovar a possibilidade de exploração das falhas detectadas. Deve­se ter alguns cuidados ao se contratar um serviço de teste de intrusão. Primeiro, é importante fazer um contrato de não divulgação das informações obtidas durante o teste (NDA – Non Disclosure Agreement) e de delimitação do escopo do teste (por exemplo, a organização pode proibir testes de negação de serviço). Outra preocupação é contratar uma empresa que realmente realize testes de intrusão qualificados e não apenas utilize uma ferramenta para automatizar varreduras de vulnerabilidades (acredite: existem algumas empresas que fazem isto e chamam o serviço de “teste de invasão”). Um legítimo teste de intrusão deve ser realizado por um profissional, com qualificações técnicas, que utilize metodologias apropriadas, criatividade e seja capaz de desenvolver técnicas e ferramentas específicas para atacar os sistemas e aplicações que fazem parte do escopo. Enumero as principais vantagens de se realizar um teste de intrusão e não apenas uma análise de vulnerabilidades. Um teste de intrusão: sutis, como falhas de lógica de uma aplicação, falhas nas regras de negócio, falhas não convencionais ou triviais de aplicação, possibilidades de contornar ferramentas de proteção, problemas de arquitetura de segurança e falhas de conscientização de segurança (fator humano), que geralmente não são detectadas em uma abordagem tradicional de análise de vulnerabilidades (a famosa abordagem “check­ list”);

• Favorece a detecção de vulnerabilidades mais

Análise de Vulnerabilidades Versus Teste de Intrusão Existe uma diferença entre os termos “análise de vulnerabilidades” e “teste de intrusão”. Um teste de intrusão inclui a atividade de análise de vulnerabilidades, mas vai além. O teste de intrusão é uma simulação do cenário em que um atacante real

• Permite testar a efetividade das soluções tecnológicas de segurança implementadas,
Janeiro 2012 • segurancadigital.info

41 ARTIGO Segurança Digital inclusive a configuração dos firewalls, ferramentas de IPS, programas de antivírus e soluções de controle de acesso;

• Permite identificar com maior exatidão a facilidade, probabilidade e impacto de exploração de
vulnerabilidades no ambiente, fornecendo informações mais precisas para análise de risco;

• Pode, dependendo dos resultados e das evidências de intrusão obtidas durante o teste, facilitar a
conscientização da alta direção, de gerentes, analistas de TI, desenvolvedores e demais colaboradores, inclusive levando a um maior investimento em projetos de segurança.

Aumente a Maturidade em SI da Sua Organização Ao considerar que a abordagem de testes de intrusão pode ajudar sua organização a conseguir e manter aderência a normas e padrões de segurança, melhorar a credibilidade perante investidores, parceiros e clientes, bem como evitar graves prejuízos financeiros, problemas judiciais e sérios danos de imagem, não é difícil concluir que vale a pena investir na realização de testes de intrusão para ajudar a sua organização a elevar o nível de maturidade em segurança da informação.

Janeiro 2012 • segurancadigital.info

42

LI VRO EM DESTAQU E

Clicando com Segurança
Por Edison Fontes
Este livro apresenta assuntos do dia a dia da segurança da informação em relação às pessoas e em relação às organizações. Ele foi escrito para o usuário e também para o profissional ligado ao tema segurança da informação. Para os professores, cada texto pode ser um assunto a ser debatido em sala de aula. No final do livro são identificados os requisitos de segurança da informação da Norma NBR ISO/IEC 27002 que sustentam ou motivam cada texto, possibilitando assim a ligação da prática com a teoria. A leitura também pode ser feita sem se preocupar com a teoria, na sequência desejada e diretamente para algum tema específico. Lembre­se de que segurança da informação também vale para a sua família: foram incluídas neste livro 50 dicas de segurança para o uso da Internet e seus serviços gratuitos ou pagos.

Sobre autor Edison Fontes
CISM, CISA, Bacharel em Informática pela UFPE, Mestrando em Tecnologia pelo Centro Paula Souza­SP, Especialista pelo Mestrado de Ciência da Computação da UFPE, Pós­graduado em Gestão Empresarial pela FIA­ USP. Foi Coordenador de Segurança da Informação do Banco Banorte, Consultor Independente, Gerente do Produto Business Continuity Plan da PriceWaterhouseCoopers, Security Officer da GTECH Brasil e Gerente Sênior da CPM Braxis. Atualmente é Sócio­consultor da Núcleo Consultoria em Segurança, Professor de MBAs da FIAP­São Paulo e Professor convidado da FIA­São Paulo.

Links http://brasport.wordpress.com/2011/09/28/clicando­com­seguranca http://www.brasport.com.br/informatica­e­tecnologia/seguranca­br­2­3­4­5/clicando­com­seguranca.html http://informationweek.itweb.com.br/blog/edison­fontes
Janeiro 2012 • segurancadigital.info

43

N OTÍCI AS ­ As 5 maiores invasões de 2011
determinado formulário um comando que, se não for interpretado pelo site, pode fornecer dados que antes eram sigilosos. E foi o que aconteceu no caso das bases de dados do MySQL.com, ironicamente o site dos criadores da base de dados de código aberto SQL. >> Saiba mais em: http://migre.me/7pfjg

Site do BackTrack hackeado

É em 2011 nem mesmo o site da distribuição BackTrack escapou aos olhos dos criminosos virtuais. O fato do BackTrack ser uma das distribuições focadas em segurança mais famosa do mundo não foi o suficiente para "intimidar" esses criminosos, que conseguiram hacker o site oficial deste gigante Linux! >> Saiba mais em: http://migre.me/7pfc9

Site do IBGE é invadido por hackers

Kernel.Org hackeado

No dia 12 de Agosto ocorreu uma invasão no kernel.org, repositório primário para o código­fonte do Linux. O ataque só foi descoberto dia 28. Até lá os invasores já tinham: Sony admite invasão de site canadense A Sony confirmou terça­feira • Ganhado acesso root ao servidor HERA (24/5) que alguém invadiu um site de sua propriedade no Canadá e roubou cerca de 2 • Modificado o código­fonte de arquivos relacionados com ssh, em seguida recompilados mil nomes e endereços de e­ e disponibilizados mail de clientes. Cerca de mil registros já foram publicados online por um hacker que se autointitulou • Instalado um cavalo de tróia nos scripts de Idahc, "um hacker libanês gray­hat". inicialização >> Saiba mais em: http://migre.me/7pfCw • Monitorado e Capturado interações dos usuários

O site do Instituto Brasileiro de Geografia e Estatística (IBGE) foi invadido por hackers na madrugada desta sexta­feira (24/06). No topo da página na internet, está escrito "IBGE Hackeado – Fail Shell", e uma imagem com um olho representando a bandeira do Brasil vem logo abaixo. >> Saiba mais em: http://migre.me/7pfzP

Logo após a detecção da invasão medidas foram tomadas, o próprio Google foi solicitado a tirar do ar os repositórios do Android, pois não se sabia a extensão da invasão. >> Saiba mais em: http://migre.me/7pfdV

MySQL hackeado usando própia tecnologia

O que os hackers fizeram é conhecido como uma SQL injection (ou injeção SQL em bom português). Eles enviam para o site em um

Quer contribuir com esta seção? Envie sua notícia para nossa equipe! contato@segurancadigital.info
Janeiro 2012 • segurancadigital.info

44

COLU N A DO LEI TOR

EMAILS, SUGESTÕES E COMENTÁRIOS
Esta seção foi criada para que possamos Eduardo compartilhar com você leitor, o que andam falando Parabéns, excelente conteúdo! da gente por aí... Contribua para com este projeto (contato@segurancadigital.info). Hercules Otimo Trabalho, parabéns.. espero, logo, logo Wellington Zenji contribuir... Parabens pela iniciativa do projeto da Revista Seguranca Digital. Márcia Lima Recomendo a todos. Olá, Espero que continuem. parabéns pela empreitada! Sucesso!!! Após ler com cuidado a revista farei outra postagem. Grade abraço! Janilson Muito bom mesmo. Uma revista de qualidade Elexsandro excelente a custo zero para quem a adquire! Parabéns pela iniciativa e pelo excelente trabalho, Parabéns pelo trabalho... espero e torço que dê tudo certo para que continuemos tendo o privilegio de ter de forma clara, Cieldo Silva limpa e objetiva todo esse mundo de informação Muito legal a revista parabéns!!!!! sobre Segurança Digital. queria saber como adquirir as edições passadas Boas Festas @elexsandro vlw Na expectativa para o sorteio do Curso Segurança em Servidores Linux ofertado pela @4LinuxBR em Rubem Cerqueira parceria com @_SegDigital #2DSD A equipe segurança digital esta de parabéns pelo excelente trabalho! Todo mês fico na expectativa de @elexsandro ler a revista que tem um ótimo conteúdo. Parabéns ao @laerciomasala vencedor do 1º e 2º Desafio Segurança Digital promovido pela equipe do Osmar Freitas @_SegDigital Muito obrigado pela Revista. Muito bom trabalho. @rodrigojorge Projeto Segurança Digital recruta voluntários! http://bit.ly/zlKwo5 @_SegDigital (via @owasppb)
Janeiro 2012 • segurancadigital.info

45

Revista Segurança Digital adere ao #SOPABlackoutBR

Em adesão ao movimento #SOPABlackoutBR, o site do Projeto Segurança Digital esteve fora do ar, no dia 1 8/01 , das 08h às 20h. Diversos ativistas participaram do protesto contra o projeto de lei estadunidense, o SOPA, que ameaça a liberdade na internet sob o pretexto de combate à pirataria.

Saiba mais em:
http://segurancadigital.info/noticias/57-noticias-referentes-a-segurancadigital/465revista-seguranca-digital-adere-ao-sopablackoutbr

46 PARCERIA Segurança Digital

PARCEIROS

Venha fazer parte dos nossos parceiros, que apoiam e contribuem com o Projeto Segurança Digital.
http://www.segurancadigital.info
Janeiro 2012 • segurancadigital.info

47 PARCERIA KRYPTUS E Segurança Digital

A empresa Kryptus, especializada em Soluções de Segurança da Informação, se encontra na etapa de fabricação do primeiro Cripto­ Processador Seguro (CPS) de uso geral, elaborado com tecnologia nacional, voltado para aplicações críticas onde a segurança contra ataques físicos e lógicos, além de confidencialidade e proteção de propriedade intelectual são estratégicos.

Kryptus desenvolve primeiro Cripto­ Processador Seguro 100% nacional

constantemente checado, para detectar modificações por algum software malicioso. Em caso de ataque, o CPS consegue restaurar a imagem do kernel em tempo real, garantindo assim a integridade do sistema.

Além do processador criptográfico de alto desempenho, construído com base na arquitetura RISC Sparc V8, a Kryptus indiretamente capacita seu corpo de mais de 20 engenheiros para Além das proteções contra ataques e cópias desenvolver soluções diversas como: indevidas (todo o sistema operacional, BIOS e microcontroladores seguros, smart­cards, tokens, IP Cores VHDL e bibliotecas criptográficas.

Com lançamento previsto para o segundo semestre de 2012 e iniciativa singular no hemisfério Sul, o CPS é um projeto financiado pela FINEP (www.finep.gov.br) e está sendo construído com base na linguagem de descrição de hardware VHDL. software são cifrados e assinados digitalmente, além de implementar um “Firewall em Hardware”), o CPS possui forte e inovador mecanismo anti­malware e anti­rootkit. Por possuir distintos núcleos de execução concorrentes as funções de criptografia e auditoria são isoladas. O CPS permite com que o “kernel” do sistema operacional seja

APLICAÇÕES Atualmente, sabe­se que a segurança de um sistema, em última instância, recai sobre a segurança provida pelos seus processadores. Todavia, os processadores criptográficos capazes de prover esta segurança são, em sua totalidade, projetados e fabricados no exterior. Além de não possuírem design auditável, a importação destes dispositivos também requer a autorização dos Estados exportadores, afetando assim a soberania nacional.
Neste sentido, este projeto cria um Criptoprocessador Seguro (CPS), que é o primeiro processador de uso geral disponível comercialmente em nível mundial a fornecer bases sólidas de segurança contra ataques lógicos e físicos e com código auditável. O CPS poderá ser utilizado como bloco fundamental em uma gama de aplicações nas quais a confidencialidade, autenticidade, flexibilidade e custos reduzidos sejam fatores críticos de sucesso. Além de substituir importações, o processador e sua licença poderão ser facilmente
Janeiro 2012 • segurancadigital.info

48 PARCERIA KRYPTUS E Segurança Digital exportados. Ainda, toda a tecnologia será Além da redução de custos, o CPS trará outros dominada por organizações nacionais, abrindo­se benefícios estratégicos, ao permitir que a pela primeira vez a possibilidade de algoritmos empresa: proprietários de criptografia do Estado Brasileiro serem implementados em um processador • Desenvolva uma nova geração de produtos próprios, tais como um HSM formato placa seguro em tecnologia ASIC. PCI­express, que somente são viabilizados por Nesse contexto, o CPS poderá ser aplicado um CPS também para: • Possa fornecer equipamentos com hardware • Aplicações onde a propriedade intelectual e software 100% auditáveis, gerando um deve ser preservada, já que as memórias de grande diferencial de mercado para aplicações programa e de dados são cifradas. de interesse do Estado • Computadores do tipo “PC” e servidores seguros, resistentes a ataques de malwares e ataques físicos. • Oferecer uma solução adequada para desenvolvimento de Urnas Eletrônicas seguras. • Facilitar a implementação dos mecanismos de segurança e controle de conteúdo (DRM) do padrão de SBTVD (Sistema Brasileiro de TV Digital). • Atendimento da demanda do aparato de Defesa Nacional e Inteligência Nacional por tecnologia soberana de segurança de comunicações e dados, equiparando o país aos demais componentes do BRIC. Nesse contexto, aplicações possíveis são: • Rádios terrestres. criptográficos para tropas

Tecnologia Empregada • Processador de 32 bits, RISC Sparc V8, com MMU, controlador de memória, controlador PCI, ALU (div, mult), FPU.
• JTAG, UART, controlador USB, EEPROM interna, RBG interno em hardware, cache on die, com cifração e autenticação de barramentos de dados e código em tempo real utilizando como base o algoritmo criptográfico AES ou algoritmos criptográficos proprietários do Estado Brasileiro. • O dispositivo será fabricado em processo semicondutor alvo de 130nm, podendo operar até a frequência estimada de 300MHz.

• Proteção de equipamentos de comunicações digitais de naves da Defesa. • Dispositivos para comunicações diplomáticas, telefonia VoIP e PSTN (telefonia comutada convencional) segura, entre outros.

Futuro O desenvolvimento do CPS é um grande passo para o desenvolvimento de tecnologia criptográfica nacional, além de promover a capacitação de engenheiros numa área pouco difundida e em contrapartida essencial para a soberania e segurança nacionais.
Depois de terminada a validação do “Back­End”, a fase 2 do projeto engloba a criação de microcontroladores para funções específicas
Janeiro 2012 • segurancadigital.info

49 PARCERIA KRYPTUS E Segurança Digital (exemplos: medição de energia, taxímetros, controladores de VANTs, HSMs,...), assim como um processador aeroespacial e o primeiro processor smart­card 100% nacional. críticas. A Kryptus é a pioneira ao desenvolver e introduzir o primeiro processador acelerador AES do mercado brasileiro. Os clientes Kryptus procuram soluções para problemas onde um alto nível de segurança e o domínio tecnológico são fatores fundamentais. No âmbito governamental, soluções Kryptus protegem sistemas, dados e comunicações tão críticas como a Infraestrutura de Chaves Públicas Brasileira (ICP­Brasil), a Urna Eletrônica Brasileira e Comunicações Governamentais.

Sobre a Kryptus:

Empresa 100% brasileira, fundada em 2003 na cidade de Campinas/SP, a Kryptus já desenvolveu uma gama de soluções de hardware, firmware e software para clientes Estatais e Privados variados, incluindo desde semicondutores até aplicações criptográficas de alto desempenho, se estabelecendo como a líder brasileira em pesquisa, desenvolvimento e fabricação de hardware seguro para aplicações Mais informações em http://www.kryptus.com

Diagrama (CPS)

Janeiro 2012 • segurancadigital.info

50 PARCERIA 4Linux E Segurança Digital

Curso: Investigação Forense Digital...
A forense computacional é a identificação, preservação, coleta, interpretação e documentação de evidências digitais. Este curso cobre todas as etapas supracitadas e prepara o técnico para utilizar ferramentas de investigação para descoberta de evidências digitais, através de uma metodologia de forense computacional. O curso engloba tanto a forense de computadores e equipamentos de um parque computacional, assim como dispositivos tecnológicos utilizados no dia a dia. É maior o número de casos judiciais e investigações administrativas onde filmagens, fotos, ligações, e­ mails e outras formas digitais são levantadas para melhor esclarecer a questão apresentada a ser investigada. Dentro de 4 a 5 anos é esperado que a maioria das questões judiciais envolvam a forense computacional, pois evidências digitais estarão direta ou indiretamente ligadas aos casos, como hoje estão na vida de todos nós. Porém, como em todas as novas técnicas e descobertas, o mercado está escasso de profissionais nesta área e carente de profissionais certificados em forense digital. Este curso tem como objetivo ensinar as novas técnicas e os procedimentos necessários para se trabalhar com evidências digitais. Em acréscimo, o foco nas certificações, irá credenciar o aluno a trabalhar nesta área e a ser indicado como especialista nas provas digitais. Outro aspecto no qual este curso auxilia, é na preparação dos alunos para realizar a prova para perito da Polícia

Federal, pois o conteúdo abordado está em consonância com o conteúdo cobrado na prova e na atuação desse profisional na execução de seus encargos. Ao final do curso, o aluno estará preparado para realizar análises forense em dispositivos móveis, mídia digitais, sistemas Linux e Windows, recuperação de dados e relatórios ao final de suas investigações. Tudo através da utilização de ferramentas livres. Inclusive, o aluno terá como exemplo de cada tipo de análise forense, estudo de casos específicos, com a devida apresentação do contexto, descrição e, no final, a solução dos mesmos, com os comandos e ferramentas utilizados. Tudo completamente documentado para posterior consulta e estudo, mesmo após o término do curso.

Saiba mais em:

http://www.4linux.com.br/cursos/investigacao­ forense­digital.html#curso­427
Janeiro 2012 • segurancadigital.info

51 PARCERIA HostDime E Segurança Digital analistas de SI de todo o mundo. Houve um grande crescimento dos usuários da biblioteca Timthumb (http://code.google.com/p/timthumb/) nos últimos tempos. Ela é largamente utilizada em temas Wordpress e como não poderia ser diferente, atraiu atenção de muitos crackers que conseguiram causar estragos em vários blogs/sites. Versões antigas possuem falhas de programação que podem ser exploradas se o acesso a arquivos remotos por parte da biblioteca estiver ativado, veja o vídeo no Não há pró­atividade que deixe todo e qualquer Youtube (http://encurta.com/97e). servidor 100% livre de falhas ou pragas indesejáveis, não é mesmo? Embora a nossa Estes são apenas exemplos de desafios que equipe se esforce em manter o ambiente analistas de segurança enfrentam todos os dias atualizado, todos os dias recebemos novas em empresas de hosting. É necessário que o solicitações em nosso Setor de Auditorias e usuário tenha consciência de que a atualização Abusos com contas que sofreram algum tipo de de sistemas se trata de uma necessidade e que invasão. Grande parte das invasões são feitas se houver apenas um plugin desatualizado, todo através do uso de CMS’s desatualizados, o site pode estar em risco e todo o trabalho de anos pode ser perdido por falta de um simples principalmente o nosso querido Joomla! procedimento de atualização. Infelizmente isto Como sabemos, os CMS’s possuem uma enorme não é apenas uma estória fictícia criada para gama de pontos positivos e por este motivo amedrontar usuários, isto ocorre todos os dias muitos usuários acabam por utilizá­los, entretanto em milhares de servidores de hospedagem pelo isto atrai um efeito indesejável e perigoso: Os mundo. crackers! Muitos deles trabalham diariamente para explorar e encontrar vulnerabilidades nestes sistemas e devido à larga escala de utilização Aproveite as dicas da Revista Seguranca Digital dos mesmos. Os ataques em sua maioria são no seu dia­a­dia e deixe as suas aplicações devastadores. Infelizmente muitos usuários não ainda mais seguras! mantêm suas aplicações atualizadas, seja por falta de conhecimento ou por uma falsa sensação de comodidade, pois em muitos casos podem ser perdidas personalizações durante o Artigo escrito por Thiago Brandão. procedimento de atualização. Thiago é especialista em segurança e faz parte Infelizmente isto não ocorre somente com o do time de analistas de SI da HostDime Brasil. Joomla!. Exemplificaremos com um novo tipo de Nas horas vagas, ou está programando, ou invasão que está ocorrendo nos últimos meses e fazendo o seu tão querido Yoga. tem se tornado uma dor de cabeça para os

Webhosting

Desafios da gestão de segurança de servidores compartilhados (Parte I)

Janeiro 2012 • segurancadigital.info

Contato: contato@segurancadigital.info http://www.twitter.com/_SegDigital

Segurança Digital
4ª Edição ­ Janeiro de 2012

www.segurancadigital.info
@_SegDigital segurancadigital

VOCÊ PODE:

Copiar, distribuir, criar obras derivadas e exibir a obra.

Licença

COM AS SEGUINTES CONDIÇÕES:

Dar crédito ao autor original e a Revista Segurança Digital, citando o nome do autor (quando disponível) e endereço do projeto.

Você não pode utilizar esta obra como fonte comercial. Este direito é de total exclusividade do titular responsável por manter o site Segurança Digital.

Compartilhamento pela mesma Licença. Se você alterar, transformar, ou criar outra obra com base nesta, você somente poderá distribuir a obra resultante sob uma licença idêntica a esta.

O Projeto Segurança Digital apóia o compartilhamento gratuito de informações e conhecimento, mas ao mesmo tempo defende o fato de que, ao distribuir a obra de outra pessoa ou entidade você deverá citar a fonte original desta, dando assim crédito ao seu autor. Esta revista não poderá ser comercializada sem auto­ rização prévia do responsável Fábio Jânio Lima Ferreira. O Projeto Segurança Digital garante a gratuidade desta edição. A mesma poderá ter uma versão impres­ sa paga, porém a versão digital não poderá, em hipótese alguma, ser comercializada. Só será permitida uma versão impressa para cunho comercial sobre autorização prévia do titular da comunidade. A comercializa­ ção da versão impressa desta revista sem autorização prévia constitui crime previsto nas leis nº 6.895 e 10.695. Parágrafo que respalda esta revista: § 1º Lei nº 6.895 ­ Se a violação consistir em reprodução, por qualquer meio, com intuito de lucro, de obra intelectual, no todo ou em parte, sem a autorização expressa do autor ou de quem o represente, ou consistir na reprodução de fonograma ou videograma, sem autorização do produtor ou de quem o represen­ te. Cada autor é responsável por seu artigo, desta forma o Projeto Segurança Digital não se responsabiliza por quebra de direitos autorais, por qualquer colaborador.

|01

Março 2012 • segurancadigital.info

É, esse mês passou rápido. Até demais! Felizmente fechamos com chave de ouro mais uma edição da Revista Segurança Digital, que ganhou uma nova roupagem, um visual desenhado a partir do zero. Como nosso objetivo é levar o melhor material até os leitores, este atraso pode ser perdoado, assim acredito. Nessa edição tivemos a inserção de um tutorial, prática que será levada adiante nas edições seguintes, nossa colaboradora Lígia Barroso escreveu um artigo muito interessante sobre a área de Direito Digital atendendo a pedidos de leitores. É válido relembrar que você pode nos enviar sugestões por email, fazer comentários no site e até mesmo nas redes sociais em que temos participação (Twitter e Facebook). LDAP Injection é o artigo destaque dessa edição, escrito por Bruno Cesar Moreira de Souza. Em seu artigo o autor em questão começa citando a vulnerabilidade chamada de "SQL Injection", muito utilizada por criminosos virtuais para conseguir acesso não autorizado a dados sensíveis ou até mesmo comprometer os dados em questão, mas não para por aí. Além dos ataques de "SQL Injection" temos os seus irmãos "XPath Injection", "LDAP Injection", “SOAP Injection", "SMTP Injection" e muitos outros... Ainda falando sobre ataques de quem tem como objetivo realizar algum tipo de injeção, é válido relembrar que em edições anteriores desta revista falamos sobre "SQL Injection" e "PHP Injection". Voltando ao assunto principal dessa edição, demostrações de injeção a LDAP são efetuadas pelo autor, garantindo desta forma um melhor entendimento e aproveitamento do artigo. Como mencionado logo no início dessa página, esta edição conta com um tutorial prático referente a servidores SSH, escrito por Fábio Jânio. Atendendo a pedidos de leitores o tutorial em questão possui uma abordagem bem simples e direta, o mesmo apresenta uma ferramenta de segurança utilizada para evitar ataques do tipo brute­force e outros ataques do gênero, essa ferramenta atende muito bem as necessidades de usuário, administradores e profissionais de segurança que trabalham ou utilizam ambiente GNU/Linux.

DIRETOR E DIAGRAMADOR Fábio Jânio Lima Ferreira fabiojanio@segurancadigital.info EDITORES­CHEFE Johnantan Pereira johnantan.pereira@gmail.com Luiz Felipe Ferreira lfferreira@gmail.com EDITOR DE ARTE Hélio José Santiago Ferreira COLUNISTAS Augusto Pannebecker Fernandes augustopan@gmail.com Thiago Fernandes Gaspar Caixeta thiago.caixeta@gmail.com Ronielton Rezende Oliveira ronielton@ronielton.eti.br Julio Carvalho julioinfo@gmail.com Lígia Barroso ligiabarroso@hotmail.com Bruno Cesar Moreira de Souza bruno.souza@ablesecurity.com.br Nágila Magalhães nagilamagalhaes@gmail.com Fernando Shayani fernando@critteria.com.br Yuri Diogenes

Editorial

REVISÃO Andressa Findeis findeis.andressa@gmail.com Mauro Júnior maurompjunior@gmail.com Raiana Pereira raianagomes@yahoo.com.br

Sejam bem vindos a mais uma edição Revista Segurança Digital...
Na Internet http://twitter.com/_SegDigital www.facebook.com/segurancadigital

Por Fábio Jânio

www.youtube.com/segurancadigital www.segurancadigital.info

|02

Março 2012 • segurancadigital.info

Índice

Artigo
Appliance de IDS/IPS ou Servidor com Snort? Classificação da Informação Criptografia simétrica e assimétrica (parte 1) CyberWar a realidade que você desconhece Direito & TI ­ os desafios do "novo profissional do direito" em 2012 DNSSEC ­ O antídoto contra os ataques DNS LDAP Injection ­ Como Funciona o Ataque e Como se Proteger Pericia Digital: Conheça a arte da investigação "digital" OpenStack solução para contrução de nuvens Otimização de Links WAN Segurança em Cloud Computing 05 07 11 16

Data Security HostDime Kryptus

49 56 57

Anuncios / Divulgação
AbleSecurity Data Security 45 46

19 21 25 30 33 35 37

04 ­ Agenda TI
Confira o calendário dos profissionais de TI

58 ­ Coluna do leitor
Dica / Tutorial
SSH ­ Proteção Com DenyHosts 41 Emails, sugestões e comentários. Envie o seu e, contribua para com o nosso projeto

44 ­ Notícias
Parceiros
4Linux 48 Fique informado quanto ao que acontece no mundo virtual.

|03

Março 2012 • segurancadigital.info

Links:
http://twitter.com/agendati http://www.facebook.com/agendati agendati@fedorowicz.com.br

Perfil Responsável:
Eduardo Fedorowicz http://twitter.com/fedorowicz

|04

Março 2012 • segurancadigital.info

Appliance de IDS/IPS ou Servidor com Snort?

N

o universo de Segurança da Informação, entre muitos conceitos, está o de IDS/IPS. IDS (Intru­ sion Detection System) como seu próprio sig­ nificado, faz uma detecção de intrusão e gera um alerta, já IPS (Intrusion Prevention System) vai além de detec­ tar a tentativa de invasão, barra esta de maneira a bloquear o tráfego malicioso, protegendo o ambiente.

O SNORT é um software livre com o objetivo de realizar esta função de IDS/IPS. Pode ser utilizado em hardware proprietário (Appliance) ou em servidor dedicado, reduzindo seu custo de implantação. Com o crescente aumento do número de ataques e sua diversidade, cada vez mais as empresas vêem a necessidade de utilizar uma solução de IDS/IPS a fim de evitar que sejam exploradas vulnerabilidades exis­ tentes em seu ambiente, sejam elas em protocolos ou de softwares em uso. Com esta necessidade de segurança surge outra questão a ser respondida: utilizar um Appliance IDS/IPS de um fabricante ou utilizar um servidor de­ dicado rodando SNORT? Um appliance traz consigo a confiabilidade e o su­ porte que o fabricante oferece, muitas vezes a um cus­ to adicional, mas disponível mesmo assim. Já a solução de um servidor rodando SNORT, tem como principal vantagem o custo, visto que o software SNORT é freeware e um bom servidor tem um custo

relativamente baixo. Vale lembrar que o SNORT tam­ bém possui suporte do fabricante, tanto para o software quanto para novas ameaças que surgem no dia­a­dia. Porém este suporte também é ponto de dis­ cussão sobre uma solução ou outra, pois geralmente a resposta do suporte de um fabricante de um applian­ ce é mais rápido do que da equipe do SNORT. O objetivo deste artigo não é menosprezar uma ou outra solução, apenas apontar alguns pontos essenci­ ais para a tomada de decisão, de um administrador de rede, para qual alternativa optar. A solução utilizando um appliance tem um custo alto que muitas vezes não atende aos objetivos de uma pequena ou média empresa. Para tomar a deci­ são sobre qual solução utilizar as empresas avaliam primeiramente a relação custo benefício. Este appli­ ance carrega consigo vantagens essenciais no desem­ penho da comunicação de backbone de uma empresa, como por exemplo, ausência de latência na comuni­ cação, o que para maioria das empresas é essencial nas suas comunicações. Explicando, o conjunto hardware e software de um appliance são construídos de maneira a não injetar latência na comunicação quando faz inspeção do tráfego. O hardware de um appliance geralmente é construído especialmente pa­ ra este fim, uma arquitetura especial que não permite a injeção de atrasos na comunicação. Quando o tráfe­
Março 2012 • segurancadigital.info

|05

ARTIGO Segurança Digital

go é intenso e supera um limite pré­determinado, defi­ nido pelo fabricante ou administrador da rede, o mes­ mo entra em modo failover, ou seja, faz um by­pass nas suas portas, permitindo ao tráfego passar direta­ mente pelo seu hardware sem inspeção. Isto para mui­ tos é uma falha de segurança, deixar o tráfego passar sem inspeção, mas vale ressaltar que não é fácil atin­ gir este limite do equipamento, é a última alternativa do mesmo. Além disso, os administradores precisam ter atenção para filtros habilitados que não possuem tráfego inspecionado contabilizado no equipamento, ocupando memória/CPU e contribuindo para que este limite seja atingido. Já a solução de um servidor rodando SNORT, ape­ sar do mesmo suportar arquiteturas RISC e CISC de hardware, dificilmente não inserirá latência na comu­ nicação, devido ao hardware do servidor não ter sido fabricado para este fim, por melhor que este seja. Es­ ta solução, na opinião deste, tem sua melhor aplica­ ção em pequenas e médias empresas, que não necessitam de tráfego externo livre de latência. Muitos fabricantes fazem uso do SNORT em seus appliances, a principal diferença entre suas soluções e aquelas implementadas com servidores, é o hardware proprietário – com um conjunto de processadores em linha ­ fabricado especialmente para este fim. Um IDS/IPS, seja ele um appliance ou um SNORT, tem seu funcionamento semelhante ao de um software an­ ti­vírus. Ambos se utilizam de uma base de dados de vulnerabilidades atualizada, para inspecionar o tráfe­ go/arquivos a fim de detectar ameaças conhecidas, a diferença é que o IDS/IPS atua na camada 3 (rede) do modelo OSI e o anti­vírus na camada 7 (aplicação). Esta base de dados é atualizada sempre que uma vul­ nerabilidade se torna conhecida e passa pela análise de uma equipe especializada, seja do fabricante do ap­ pliance ou do SNORT. Esta explicação ajuda a enten­ der o porquê da necessidade de um hardware tão robusto para um IDS/IPS, pois o equipamento tem que ser capaz de gerenciar o tráfego ao mesmo tempo em que o inspeciona procurando por ameaças, isto tu­ do sem gerar a temida latência. Por fim, podemos concluir que ambas as soluções tem o mesmo objetivo, proteção do ambiente, porém com duas diferenças principais: custo e desempenho. Cabe aos CSO (Chief Security Officer) juntamente com os administradores, avaliarem qual solução utili­ zar, sempre levando em conta o escopo que desejam proteger e a melhor relação custo benefício para sua empresa.

Figura 1 ­ Logo do Snort.

Um pouco mais sobre o SNORT
O Snort, ferramenta criada por Martin Roesch é muito utilizada no meio corporativo para detectar tentativas de invasão. As chances de você ser um profissional de segurança e não conhecer esta fer­ ramenta são bem remotas. Hoje, além do Snort ser comercializado em for­ ma de appliances de alto desempenho a Sourcefire possui uma linha de produtos também comerciali­ zados da mesma forma, como por exemplo um an­ ti­vírus que funciona na nuvem. Essa ferramenta possui uma solução open sour­ ce (grátis). Segundo seu criador basicamente não existe quase nem uma diferença entre a solução paga e grauita do produto principal (Snort), todos os pré­processadores, a lógica de detecção, os complementos de saída são os mesmos. Site oficial: http://www.snort.org/

Augusto Pannebecker Fernandes
Técnico em Eletrônica e Informática Industrial, superior em Análise e De­ senvolvimento de Sistemas, pós­gra­ duando em Especialização em Segurança da Informação 18 anos de experiência na área de TI atualmente atuando em Suporte de Redes/Tele­ com, Administrador de IDS/IPS, Ana­ lista e consultoria de segurança. Email: augustopan@gmail.com Twitter: @AugustoPan

|06

Março 2012 • segurancadigital.info

Uma maneira eficiente de proteger suas informações e garantir o seu negócio

Classificação da Informação

Introdução
Definitivamente estamos vivendo a era da informa­ ção. Seja nas ruas, no trabalho ou em casa, para onde olhamos somos inundados com as mais variadas infor­ mações disponíveis nos mais diversos formatos: out­ doors, livros, revistas, jornais, rádio, televisão, internet, etc. Muitas destas informações são úteis e se­ rão utilizadas no nosso dia­a­dia, porém outras com certeza terão pouca importância, devendo ser descon­ sideradas. Saber analisar o que realmente é importante para nós se torna um fato de extrema relevância, para não perdermos o foco do que nos interessa de verdade. Este exercício deve ser feito por todos, principalmen­ te pelas organizações onde existe um ambiente em que a questão financeira será mais abrangente, poden­ do as informações se tornarem um diferencial compe­ titivo, além de otimizar o capital disponível aplicando­o onde é essencialmente importante. Nosso objetivo aqui é fornecer o entendimento necessário, para que você possa buscar a valorização e proteção dos seus ativos de informação em sua organização da melhor forma possível. Neste contexto, é interessante entendermos sobre a classificação das informações dentro das organiza­ ções. As informações transitam dentro das empresas através dos mais variados canais, tais como publica­

ções, cds e dvds, pendrives, e­mails, sistemas, etc. e saber classificá­las de forma correta garante que es­ tas recebam a devida proteção de acordo com seu ní­ vel de criticidade durante todo o seu ciclo de vida, desde sua criação até o seu descarte. A informação é um bem precioso das organizações, assim seu valor deve ser reconhecido no nível mais apropriado e os colaboradores devem saber como protegê­las, para que não ocorram acessos indevidos, sejam modifica­ das, excluídas por pessoas não autorizadas ou divul­ gadas sem prévia autorização, podendo gerar sérios prejuízos ao negócio e à imagem da organização. Á respeito disso a ISO/IEC 27002:2005 diz que “a informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial. Con­ vém que um sistema de classificação da informação seja usado para definir um conjunto apropriado de ní­ veis de proteção e determinar a necessidade de medi­ das especiais de tratamento”. Portanto a classificação das informações pode ser entendida como um meca­ nismo para que as empresas identifiquem, definam critérios e níveis de proteção adequados às mais di­ versas informações disponíveis nos mais diversos formatos. Assim garante­se a confidencialidade, inte­ gridade e disponibilidade destas informações, além de melhorar a aplicabilidade dos recursos financeiros
Março 2012 • segurancadigital.info

|07

ARTIGO Segurança Digital

disponíveis, provendo segurança na medida certa pa­ ra seus ativos. É importante ressaltar que todo este processo deve ser periódico, ou seja, deve ser sempre revisto de tem­ pos em tempos de forma a reavaliar o que está em vi­ gor a fim de se constatar novas prioridades e criticidades, lembrando que uma informação que pos­ sui um determinado valor hoje pode não possuir o mesmo valor amanhã, podendo até mesmo se tornar dispensável para a organização.

da informação temos vários colaboradores envolvidos, onde cada um deles irá assumir um papel importante no processo. Podemos agrupar estas responsabilidades em quatro grupos principais: 1. Proprietários das informações: são colabo­ radores responsáveis pela classificação das infor­ mações, reclassificação e desclassificação e devem participar de todo o processo referente à alteração da mesma. 2. Custodiantes: são os responsáveis pelo arma­ zenamento e preservação das informações de ter­ ceiros. Um bom exemplo para estes profissionais seriam os colaboradores de infraestrutura que são responsáveis por servidores com informações que não lhes pertencem. 3. Gerentes: respondem pelo grupo de usuários sob sua responsabilidade e por terceiros (visitantes ou fornecedores) que utilizam informações da or­ ganização. 4. Usuários: em geral são os colaboradores que possuem mais contato com a informação e fazem maior uso dela.

Conceitos
A classificação da informação deve ser constituída por uma política com normas e procedimentos a se­ rem seguidos pelos colaboradores, constituindo em uma política que deverá fazer parte do projeto de se­ gurança da informação. Para compreender melhor es­ te contexto, é importante que tenhamos em mente alguns conceitos, buscando o entendimento necessá­ rio para iniciar o desenvolvimento da política de clas­ sificação da informação. Vamos dividir estes conceitos aqui em dois grupos principais: conceitos gerais e os atores, onde definiremos os papéis e as res­ ponsabilidades. Abaixo podemos ver alguns concei­ tos importantes quando falamos de classificação das informações: Identificação: Toda informação deve estar devida­ mente identificada. Tranquilidade: A classificação de determinada in­ formação não deve ser alterada sem prévia autori­ zação. Classificação: É a atribuição de um nível de prote­ ção da informação. Desclassificação: Remoção do nível de proteção da informação, rebaixando sua classe. Reclassificação: Altera o nível de proteção da in­ formação. Right to Know: É o direito de saber as origens dos riscos a que estão expostas as informações. Need to Know: Compreende a real necessidade do usuário de acessar determinada informação. Least Privilege: Os usuários devem possuir privi­ légios mínimos para cumprir sua função. Auditoria: Deve­se manter um log de alterações para fins de auditoria. System High Policy: A informação deve seguir o nível de proteção da classe mais alta. Com relação aos atores, no processo de classificação

Definindo os níveis de classificação
Os níveis de classificação são onde serão enqua­ dradas as informações de acordo com prévia avalia­ ção. São muito diversificados e podem variar de acordo com cada contexto em que está inserido, mas no geral sua essência será sempre a mesma: definir uma escala de relevância com proteção adequada pa­ ra os ativos de informação da organização. Assim va­ mos analisar cenários de culturas diferentes para que possamos entender melhor estes conceitos. O primei­ ro deles é o governo dos Estados Unidos, que adota uma classificação por três níveis: Top Secret Devem ser classificadas neste nível as informações cuja divulgação não autorizada possa causar algum dano grave a segurança nacional. Secret Enquadram­se neste nível as informações cuja reve­ lação não autorizada possa causar algum dano sério a segurança nacional. Confidential Informações cuja divulgação não autorizada possa causar algum dano à segurança nacional.

|08

Março 2012 • segurancadigital.info

ARTIGO Segurança Digital

O segundo cenário, a classificação segundo o go­ verno brasileiro, define em seu decreto nº 4.553/2002 os níveis de proteção em: Ultra­Secretos Dados ou informações referentes à soberania e à in­ tegridade territorial nacionais, a planos e operações militares, às relações internacionais do País [...], cu­ jo conhecimento não­autorizado possa acarretar da­ no excepcionalmente grave à segurança da sociedade e do Estado (4.553/2002, Art. 5º, § 1º). Secretos [...] Dados ou informações referentes a sistemas, instalações, programas, projetos, planos ou opera­ ções de interesse da defesa nacional, a assuntos di­ plomáticos e de inteligência [...], programas ou instalações estratégicos, cujo conhecimento não­au­ torizado possa acarretar dano grave à segurança da sociedade e do Estado (4.553/2002, Art. 5º, § 2º). Confidenciais [...] Dados ou informações que, no interesse do Po­ der Executivo e das partes, devam ser de conheci­ mento restrito e cuja revelação não­autorizada possa frustrar seus objetivos ou acarretar dano à segurança da sociedade e do Estado (4.553/2002, Art. 5º, § 3º). Reservados [...] Dados ou informações cuja revelação não­auto­ rizada possa comprometer planos, operações ou ob­ jetivos neles previstos ou referidos (4.553/2002, Art. 5º, § 4º). Podemos constatar que as diferenças sempre irão existir nas mais diversas culturas, mas o objetivo prin­ cipal será sempre o mesmo: a proteção dos ativos de informação contra possíveis danos causados pela sua manipulação de forma incorreta. É importante citar também que os ativos de informação deverão ser clas­ sificados de acordo com cada meio em que está inseri­ do. Por exemplo, o descarte de uma informação reservada possui características diferentes do descarte de uma informação ultra­sercreta assim como sua re­ produção, transmissão ou transporte e assim deve se­ guir para todos os níveis de classificação, meios ou recursos existentes. No âmbito corporativo também não é diferente. Deve existir uma classificação segundo o grau de sigi­ lo das informações, que seguirá os mesmos princípios dos governos citados, mas não existe um padrão se­

guido por todas as organizações. Portanto poderão sofrer alterações de acordo com a necessidade de ca­ da instituição. Assim vamos abordar aqui um modelo exemplificando sua aplicabilidade no mundo corpo­ rativo:

Na classificação de informações como “Públicas”, exemplos comuns que se encaixam neste nível seri­ am catálogos de serviços, informações institucionais de portais corporativos, dentre outros, que não reque­ rem um cuidado especial com relação á divulgação a terceiros, por possuir um conteúdo com baixa critici­ dade para a organização e havendo muitas vezes grande interesse na sua divulgação. Já as informa­ ções tidas com de “Uso Interno” são informações que devem transitar estritamente dentro das organizações. Podem estar neste contexto impressos, relatórios com informações de baixa criticidade para a empresa, etc. Informações classificadas como “Restritas” são informações mais sensíveis e, desta forma, devem ser manipuladas com cuidados especiais, geralmente com autorização do proprietário para demais fins. Um bom exemplo são as informações relativas aos funcionários, como salários e promoções, que devem ser de conhecimento apenas dos participantes de tais processos na empresa. Temos para o nível mais alto desta cadeia de clas­ sificação, informações que requerem alto grau de atenção com sua proteção e manipulação. Informa­ ções “Secretas” são informações onde poucos devem ter conhecimento, geralmente colaboradores com po­ sições estratégicas dentro das empresas. Aplicam­se neste cenário informações tais como chaves cripto­ gráficas, planos de lançamento de novos produtos, fusões ou novas aquisições e etc., que com certeza causariam um grande estrago para a organização caso tivessem seu conteúdo acessado por pessoas não au­ torizadas.
Março 2012 • segurancadigital.info

|09

ARTIGO Segurança Digital

É importante ressaltar que a classificação por ní­ veis deve ser dividida em duas partes: meios digitais e meios não digitais. Informações presentes nestes dois meios possuem características diferentes, trafe­ gam em locais diferentes e, portanto necessitam de cuidados diferentes em seu processo de classificação. Logo abaixo podemos visualizar um panorama geral da classificação da informação segundo o contexto re­ tratado acima:

em: 10 de mar 2012. FERREIRA, João Carlos Peixoto; NETO, Ennisten Mudado; LEITE, Ricardo A. C.. Classificação da Informação de acordo com normal ISO/IEC 17799:2005. Disponível em:<https://www.jhcruvinel.com/index.php?option=co m_docman&task=doc_view&gi =62&Itemid=2>. Acesso em: 11 de mar 2012. Francisco Temponi, Fumec, 2011. Material didático. ISO/IEC 17799:2005. PIKE, Jonh. Security and Classification Disponível em: <http://www.ostgate.com/cla ssification.html>. Acesso em: 11 de mar 2012.

Conclusão
Podemos constatar que a classificação das informa­ ções é um processo de extrema relevância para as or­ ganizações. Porém, para que alcance seus objetivos, deve­se seguir todas as etapas necessárias, desde o le­ vantamento inicial das necessidades do negócio até o treinamento dos usuários para o bom cumprimento dos procedimentos originados da política de classifi­ cação das informações, o que será fator decisivo para que a política seja seguida conforme implantada e fun­ cione de forma satisfatória. Deve ser acompanhada de forma constante pelos responsáveis, atualizada e otimizada sempre que necessário, para que reflita sempre o estado atual da organização e se constitua em mais uma importante ferramenta para a segurança das informações dentro do ambiente organizacional.

SECURITY HACKER. Disponível em: <http://www.securityhacker.org/artigos/item/classifica cao­da­informacao>. Acesso em: 12 de mar 2012. SILVA, Aldo. Disponível em: <http://hercules­ now.com/2010/03/30/classificacao­da­informacao­ %E2%80%93­parte­2/>. Acesso em: 12 de mar 2012.

Thiago Fernandes Gaspar Caixeta

Bibliografias
Afonso Kalil, Fumec, 2011. Material didático. DECRETO Nº 4.553, DE 27 DE DEZEMBRO DE 2002. Disponível em: <http://www.planalto.gov.br/ccivil_03/decreto/2002/D 4553.htm>. Acesso em: 10 de mar 2012. ELETRONIC PRIVACY INFORMATION CENTER. Disponível em: <http://epic.org/open_gov/eo_12356.html>. Acesso
Graduado em Ciência da Computação e MBA em Gestão da Segurança da Infor­ mação pela Universidade Fumec, atua na área de TI como Analista de Sistemas e Segurança da Informação. Entusiasta da forense computacional.

E­mail: thiago.caixeta@gmail.com Twitter: @tfgcaixeta

|10

Março 2012 • segurancadigital.info

Conheça os principais algoritmos de cifragem

Criptografia simétrica e assimétrica (parte 1)
Não se esqueça de ler a continuidade deste artigo na próxima edição da Revista Segurança Digital...

palavra criptografia provém dos radicais gregos kriptos (oculto) e grapho (escrita) e é o nome da­ do à ciência ou arte de codificar mensagens usan­ do uma fórmula, que também será utilizada depois para decodificar a mesma mensagem. Na criptografia moderna, esta fórmula é chamada de algoritmo. Usada há milênios pela humanidade, a criptografia se tornou essencial para garantir a privacidade das comunicações no mundo atual, principalmente em redes de computadores públicas como a internet, por onde circulam dados pessoais, comerciais, bancários e outros. Conhecer, difundir e utilizar algorit­ mos criptográficos é essencial ao profissional de Tecnolo­ gia da Informação que no mundo moderno, entre suas atribuições deve proteger e garantir a privacidade das tran­ sações comerciais realizadas através de meios eletrônicos, assim é fundamental o entendimento das técnicas, seus al­ goritmos, protocolos e finalmente a maneira como estes li­ dam com a informação a ser mantida segura.

A

computacionais, estes que inseridos nos fundamentos da segurança da informação, são definidos pela dis­ ponibilidade, integridade, controle de acesso, autenti­ cidade, não­repudiação e finalmente a privacidade, os quais devem ser de livre compreensão e facilmen­ te perceptíveis ao se efetuar transações computacio­ nais: Disponibilidade ­ garantir que uma informação estará disponível para acesso no momento deseja­ do. Integridade ­ garantir que o conteúdo da men­ sagem não foi alterado. Controle de acesso ­ garantir que o conteúdo da mensagem somente será acessado por pessoas au­ torizadas. Autenticidade ­ garantir a identidade de quem está enviando a mensagem. Não­repudiação ­ prevenir que alguém negue o envio e/ou recebimento de uma mensagem. Privacidade ­ impedir que pessoas não autori­ zadas tenham acesso ao conteúdo da mensagem, garantindo que apenas a origem e o destino tenham conhecimento. O exemplo clássico é uma compra pela internet, todos os requisitos são encontrados neste processo de troca de informações: A informação que permite a
Março 2012 • segurancadigital.info

Palavras chave: Criptografia; Algoritmo; Segurança.

1. Introdução
Quando falamos de informação e transportamos es­ te conceito para o meio digital, particularmente na uti­ lização das redes públicas de computação como a internet, e diversos são os serviços realizados é rele­ vante ao ser humano à credibilidade nos sistemas

|11

ARTIGO Segurança Digital

transação ­ valor e descrição do produto ­ precisa estar disponível no dia e na hora que o cliente desejar efetuá­la (disponibilidade), o valor da transação não pode ser alterado (integridade), somente o cliente que está comprando e o comerciante devem ter acesso à transação (controle de acesso), o cliente que está comprando deve ser realmente quem diz ser (autenticidade), o cliente tem como provar o pagamento e o comerciante não têm como negar o recebimento (não­repúdio) e o conhecimento do conteúdo da transação fica restrito aos envolvidos (privacidade). Assim é fundamental que técnicas computacionais sejam empregadas para que os requisitos de proteção da informação sejam atendidos. Neste cenário apresentam­se os dois tipos básicos de criptografia: a simétrica ou chave privada, e a assimétrica ou chave pública.

2. Criptografia simétrica ou chave privada
O modelo mais antigo de criptografia, em que a chave, isto é, o elemento que dá acesso à mensagem oculta trocada entre duas partes, é igual (simétrica) para ambas as partes e deve permanecer em segredo (privada). Tipicamente, esta chave é representada por uma senha, usada tanto pelo remetente para codificar a mensagem numa ponta, como pelo destinatário para decodificá­la na outra. Essencialmente, quando a origem (ALFA) cifra uma mensagem, ele utiliza um algoritmo de ciframento para transformar o conteúdo em claro da mensagem em texto cifrado. Quando o destino (BRAVO) decifra uma mensagem, ele utiliza o algoritmo de deciframento correspondente para converter o texto cifrado de novo em uma mensagem clara. Se um intruso (CHARLIE) conhecer o algoritmo de ciframento, ele poderia decifrar uma mensagem cifrada tão facilmente quanto o destino (BRAVO). A solução no uso da criptografia de chave privada propõe que quando a origem (ALFA) cifra uma mensagem, ele utilize um algoritmo de ciframento e uma chave secreta para transformar uma mensagem clara em um texto cifrado. O destino (BRAVO), por sua vez, ao decifrar a mensagem, utiliza o algoritmo de deciframento correspondente e a mesma chave para transformar o texto cifrado em uma mensagem em claro. O intruso (CHARLIE), por não possuir a chave secreta, mesmo conhecendo o algoritmo, não conseguirá decifrar a mensagem. A segurança do sistema passa a residir não mais no

algoritmo e sim na chave empregada. É ela (chave privada) que agora, no lugar do algoritmo, deverá ser mantida em segredo pela origem (ALFA) e destino (BRAVO). A principal vantagem é a simplicidade, esta técnica apresenta facilidade de uso e rapidez para executar os processos criptográficos. Entenda que se as chaves utilizadas forem complexas a elaboração de um algoritmo de chave privada se torna bastante fácil, porém as possibilidades de interceptação são correlatas aos recursos empregados, entretanto sua utilização é considerável no processo de proteção da informação, pois quanto mais simples o algoritmo, melhor é a velocidade de processamento e facilidade de implementação. O principal problema residente na utilização deste sistema de criptografia é que quando a chave de ciframento é a mesma utilizada para deciframento, ou esta última pode facilmente ser obtida a partir do conhecimento da primeira, ambas precisam ser compartilhadas previamente entre origem e destino, antes de se estabelecer o canal criptográfico desejado, e durante o processo de compartilhamento a senha pode ser interceptada, por isso é fundamental utilizar um canal seguro durante o compartilhamento, este independente do destinado à comunicação sigilosa, uma vez que qualquer um que tenha acesso à senha poderá descobrir o conteúdo secreto da mensagem. Outras lacunas são interpostas a este sistema: Como cada par necessita de uma chave para se comunicar de forma segura, para um uma rede de n usuários precisaríamos de algo da ordem de n2 chaves, quantidade esta que dificulta a gerência das chaves; A chave deve ser trocada entre as partes e arma­ zenada de forma segura, o que nem sempre é fácil de ser garantido; A criptografia simétrica não garante os princípi­ os de autenticidade e não­repudiação.

Tabela 1 ­ Principais algoritmos de chave privada ou criptografia simétrica

|12

Março 2012 • segurancadigital.info

ARTIGO Segurança Digital

Algoritmo

Bits

Descrição
O Advanced Encryption Standard (AES) é uma cifra de bloco, anunciado pelo National Institute of Standards and Technology (NIST) em 2003, fruto de concurso para escolha de um novo algoritmo de chave simétrica para proteger informações do governo federal, sendo adotado como padrão pelo go­ verno dos Estados Unidos, é um dos algoritmos mais populares, desde 2006, usado para criptografia de chave simétrica, sendo considerado como o padrão substituto do DES. O AES tem um tamanho de bloco fixo em 128 bits e uma chave com tamanho de 128, 192 ou 256 bits, ele é rápido tanto em software quanto em hardware, é relativamente fácil de executar e requer pouca memória. O Data Encryption Standard (DES) foi o algoritmo simétrico mais disseminado no mundo, até a pa­ dronização do AES. Foi criado pela IBM em 1977 e, apesar de permitir cerca de 72 quadrilhões de combinações, seu tamanho de chave (56 bits) é considerado pequeno, tendo sido quebrado por "força bruta" em 1997 em um desafio lançado na internet. O NIST que lançou o desafio mencionado, recerti­ ficou o DES pela última vez em 1993, passando então a recomendar o 3DES. O 3DES é uma simples variação do DES, utilizando o em três ciframentos suscessivos, podendo em­

AES

128

DES

56

3DES

112 ou 168 pregar uma versão com duas ou com três chaves diferentes. É seguro, porém muito lento para ser um
algoritmo padrão. O International Data Encryption Algorithm (IDEA) foi criado em 1991 por James Massey e Xuejia Lai e possui patente da suíça ASCOM Systec. O algoritmo é estruturado seguindo as mesmas linhas gerais do DES. Mas na maioria dos microprocessadores, uma implementação por software do IDEA é mais rápida do que uma implementação por software do DES. O IDEA é utilizado principalmente no merca­ do financeiro e no PGP, o programa para criptografia de e­mail pessoal mais disseminado no mundo. Algoritmo desenvolvido por Bruce Schneier, que oferece a escolha, entre maior segurança ou desem­ penho através de chaves de tamanho variável. O autor aperfeiçoou o no Twofish. É uma das poucas cifras incluídas no OpenPGP. O Twofish é uma chave simétrica que emprega a cifra de bloco de 128 bits, utilizando chaves de tamanhos variáveis, podendo ser de 128, 192 ou 256 bits. Ele realiza 16 interações durante a criptografia, sendo um algoritmo bastante veloz. A cifra Twofish não foi patenteada estando acessível no domínio público, como resultado, o algoritmo Twofish é de uso livre para qualquer um utilizar sem restrição. Projetado por Ron Rivest (o R da empresa RSA Data Security Inc.) e utilizado no protocolo S/MIME, voltado para criptografia de e­mail corporativo. Também possui chave de tamanho variável. Rivest também é o autor dos algoritmos RC4, RC5 e RC6. É um algoritmo de cifra de bloco, sendo criado em 1996 por Carlisle Adams e Stafford Tavares. O CAST­128 é um algoritmo de Feistel, com 12 a 16 iterações da etapa principal, tamanho de bloco de 64 bits e chave de tamanho variável (40 a 128 bits, com acréscimos de 8 bits). Os 16 rounds de iteração são usados quando a chave tem comprimento maior que 80 bits.

IDEA

128

Blowfish

32 a 448

Twofish

128

RC2

8 a 1024

CAST

128

3. Criptografia assimétrica ou chave pública
Modelo de criptografia criado na década de 1970 ­ pelo matemático Clifford Cocks que trabalhava no serviço secreto inglês, o GCHQ ­ na qual cada parte envolvida na comunicação usa duas chaves diferentes (assimétricas) e complementares, uma privada e outra pública. Neste caso, as chaves não são apenas senhas, mas arquivos digitais mais complexos (que eventual­ mente até estão associados a uma senha). A chave pú­ blica pode ficar disponível para qualquer pessoa que queira se comunicar com outra de modo seguro, mas a chave privada deverá ficar em poder apenas de cada titular. É com a chave privada que o destinatário pode­ rá decodificar uma mensagem que foi criptografada para ele com sua respectiva chave pública. Para entender o conceito, basta pensar num cadea­ do comum protegendo um determinado bem. A men­

sagem é este bem, e o cadeado, que pode ficar exposto, é a chave pública. Apenas quem tiver uma chave particular (privada) que consiga abrir o cadea­ do poderá acessar a mensagem. A principal vantagem deste método é a sua segurança, pois não é preciso (nem se deve) compartilhar a chave privada. Por ou­ tro lado, o tempo de processamento de mensagens com criptografia assimétrica é muitas vezes maior do que com criptografia simétrica, o que pode limitar seu uso em determinadas situações. Essencialmente, o destino (BRAVO) e todos os que desejam comunicar­se de modo seguro geram uma chave de ciframento e sua correspondente chave de deciframento. Ele mantém secreta a chave de de­ ciframento, esta é chamada de sua chave privada. Ele torna pública a chave de ciframento, esta é chamada de sua chave pública. A chave pública realmente con­ diz com seu nome. Qualquer pessoa pode obter uma
Março 2012 • segurancadigital.info

|13

ARTIGO Segurança Digital

cópia dela. O destino (BRAVO) inclusive encoraja is­ to, enviando­a para seus amigos ou publicando­a na internet. Assim, O intruso (CHARLIE) não tem ne­ nhuma dificuldade em obtê­la. Quando a origem (AL­ FA) deseja enviar uma mensagem ao destino (BRAVO), precisa primeiro encontrar a chave pública dele. Feito isto, ela cifra sua mensagem utilizando a chave pública do destino (BRAVO), despachando­a em seguida. Quando o destino (BRAVO) recebe a mensagem, ele a decifra facilmente com sua chave privada. O intruso (CHARLIE), que interceptou a mensagem em trânsito, não conhece a chave privada do destino (BRAVO), embora conheça sua chave pú­ blica. Mas este conhecimento não o ajuda a decifrar a mensagem. Mesmo a origem (ALFA), que foi quem cifrou a mensagem com a chave pública do destino

(BRAVO), não pode decifrá­la agora. A grande vantagem deste sistema é permitir a qualquer um enviar uma mensagem secreta, apenas utilizando a chave pública de quem irá recebê­la. Co­ mo a chave pública está amplamente disponível, não há necessidade do envio de chaves como feito no modelo simétrico. A confidencialidade da mensagem é garantida, enquanto a chave privada estiver segura. Caso contrário, quem possuir acesso à chave privada terá acesso às mensagens. O óbice deste sistema é a complexidade emprega­ da no desenvolvimento dos algoritmos que devem ser capazes de reconhecer a dupla de chaves existentes e poder relacionar as mesmas no momento oportuno, o que acarreta num grande poder de processamento computacional.

Tabela 2 ­ Principais algoritmos de chave pública ou criptografia assimétrica Algoritmo Descrição
O RSA é um algoritmo assimétrico que possui este nome devido a seus inventores: Ron Rivest, Adi Shamir e Len Adleman, que o criaram em 1977 no MIT. Atualmente, é o algoritmo de chave pública mais amplamente utilizado, além de ser uma das mais poderosas formas de criptografia de chave pública conhecidas até o momento. O RSA utiliza números primos. A premissa por trás do RSA consiste na facilidade de multiplicar dois números primos para obter um terceiro número, mas muito difícil de recuperar os dois primos a partir daquele terceiro número. Isto é conhecido como fatoração. Por exemplo, os fatores primos de 3.337 são 47 e 71. Gerar a chave pública envolve multiplicar dois primos grandes; qualquer um pode fazer isto. Derivar a chave privada a partir da chave pública envolve fatorar um grande número. Se o número for grande o suficiente e bem escolhido, então ninguém pode fazer isto em uma quantidade de tempo razoável. Assim, a segurança do RSA baseia se na dificuldade de fatoração de números grandes. Deste modo, a fatoração representa um limite superior do tempo necessário para quebrar o algoritmo. Uma chave RSA de 512 bits foi quebrada em 1999 pelo Instituto Nacional de Pesquisa da Holanda, com o apoio de cientistas de mais 6 países. Levou cerca de 7 meses e foram utilizadas 300 estações de trabalho para a quebra. No Brasil, o RSA é utilizado pela ICP­Brasil, no seu sistema de emissão de certificados digitais, e a partir do dia 1º de janeiro de 2012, as chaves utilizadas pelas autoridades certificadoras do país, passam a serem emitidas com o comprimento de 4.096bits, em vez dos 2.048bits atuais. O ElGamal é outro algoritmo de chave pública utilizado para gerenciamento de chaves. Sua matemática difere da utilizada no RSA, mas também é um sistema comutativo. O algoritmo envolve a manipulação matemática de grandes quantidades numéricas. Sua segurança advém de algo denominado problema do logaritmo discreto. Assim, o ElGamal obtém sua segurança da dificuldade de calcular logaritmos discretos em um corpo finito, o que lembra bastante o problema da fatoração. Também baseado no problema do logaritmo discreto, e o criptosistema de chave pública mais antigo ainda em uso. O conceito de chave pública, aliás foi introduzido pelos autores deste criptosistema em 1976. Contudo, ele não permite nem ciframento nem assinatura digital. O sistema foi projetado para permitir a dois indivíduos entrarem em um acordo ao compartilharem um segredo tal como uma chave, muito embora eles somente troquem mensagens em público. Em 1985, Neal Koblitz e V. S. Miller propuseram de forma independente a utilização de curvas elípticas para sistemas criptográficos de chave pública. Eles não chegaram a inventar um novo algoritmo criptográfico com curvas elípticas sobre corpos finitos, mas implementaram algoritmos de chave pública já existentes, como o algoritmo de Diffie­Hellman, usando curvas elípticas. Assim, os sistemas criptográficos de curvas elípticas consistem em modificações de outros sistemas (o ElGamal, por exemplo), que passam a trabalhar no domínio das curvas elípticas, em vez de trabalharem no domínio dos corpos finitos. Eles possuem o potencial de proverem sistemas criptográficos de chave pública mais seguros, com chaves de menor tamanho. Muitos algoritmos de chave pública, como o Diffie­Hellman, o ElGamal e o Schnorr podem ser implementados em curvas elípticas sobre corpos finitos. Assim, fica resolvido um dos maiores problemas dos algoritmos de chave pública, o grande tamanho de suas chaves. Porém, os algoritmos de curvas elípticas atuais, embora possuam o potencial de serem rápidos, são em geral mais demorados do que o RSA.

RSA

ElGamal

Diffie­ Hellman

Curvas Elípticas

|14

Março 2012 • segurancadigital.info

ARTIGO Segurança Digital

4. Certificado digital
Com um sistema de chave pública, o gerenciamento de chaves passa a ter dois novos aspectos: primeiro, deve­se previamente localizar a chave pública de qualquer pessoa com quem se deseja comunicar e, segundo, deve­se obter uma garantia de que a chave pública encontrada seja proveniente daquela pessoa. Sem esta garantia, um intruso pode convencer os interlocutores de que chaves públicas falsas pertencem a eles. Estabelecendo um processo de confiança entre os interlocutores, o intruso pode fazer­se passar por ambos. Deste modo, quando um emissor enviar uma mensagem ao receptor solicitando sua chave pública, o intruso poderá interceptá­la e devolver­lhe uma chave pública forjada por ele. Ele também pode fazer o mesmo com o receptor, fazendo com que cada lado pense que está se comunicando com o outro, quando na verdade estão sendo interceptados pelo intruso, então este pode decifrar todas as mensagens, cifrá­las novamente ou, se preferir, até substituí­las por outras mensagens. Através deste ataque, um intruso pode causar tantos danos ou até mais do que causaria se conseguisse quebrar o algoritmo de ciframento empregado pelos interlocutores. A garantia para evitar este tipo de ataque é representada pelos certificados de chave pública, comumente chamados de certificado digital, tais certificados consistem em chaves públicas assinadas por uma pessoa de confiança. Servem para evitar tentativas de substituição de uma chave pública por outra. O certificado contém algo mais do que sua chave pública, ele apresenta informações sobre o nome, endereço e outros dados pessoais, e é assinado por alguém em quem o proprietário deposita sua confiança, uma autoridade de certificação (certification authority ­ CA). Assim, um certificado digital pode ser definido como um documento eletrônico, assinado digitalmente por uma terceira parte confiável. No Brasil, o órgão da autoridade certificadora raiz é o ICP­Brasil (AC­Raiz), ele é o executor das políticas de certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP­ Brasil. São autoridades certificadoras no país: Serpro (AC­SERPRO), Caixa Econômica Federal (AC­ CAIXA), Serasa Experian (AC­SERASA), Receita Federal do Brasil (AC­RFB), Certsing (AC­ Certisign), Imprensa Oficial do Estado de São Paulo (AC­IOSP), Autoridade Certificadora da Justiça (AC­

JUS), Autoridade Certificadora da Presidência da República (AC­PR) e Casa da Moeda do Brasil (AC­ CMB). Assim, a AC­Raiz tem autoridade de emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras de nível imediatamente subsequente ao seu, sendo também encarregada de emitir a lista de certificados revogados e de fiscalizar e auditar as autoridades certificadoras, autoridades de registro e demais prestadores de serviço habilitados na ICP­Brasil. Além disso, verifica se as autoridades certificadoras (ACs) estão atuando em conformidade com as diretrizes e normas técnicas estabelecidas pelo Comitê Gestor.

Continua na próxima edição...
Aguarde a próxima edição de nossa revista para poder conferir a continuidade deste artigo. Veja abai­ xo os pontos que ainda serão vistos:

5. Assinatura digital; 6. Função hashing; 7. Sistemas híbridos; 8. Conclusão.

Ronielton Rezende Oliveira
MBA Executivo Internacional pela Ohio University/USA; MBA Gerenciamento de Projetos pela FGV; pós­graduado Criptografia e Segurança em Redes pela UFF; graduado Ciência da Computação pela UninCor. Certificado PMP, CobiT, ITIL. Carreira direcionada em Gover­ nança de TI, Segurança da Informação e Gerenciamento de Projetos. Site: http://www.ronielton.eti.br Email: ronielton@ronielton.eti.br Twitter: @ronielton

|15

Março 2012 • segurancadigital.info

VOCÊ também faz parte do jogo!!! A Internet se tornou um verdadeiro tabuleiro de Xadrez. As nações são Reis e Rai­ nhas, empresas de segurança são bispos e cavalos, analistas de TI as Torres e os usuários são os Peões!!!

CyberWar a realidade que você desconhece

“Não sei como será a Terceira Guerra Mundial, mas po­ derei vos dizer como será a Quarta: com paus e pedras.” Albert Einstein

Vírus, DDoS e CyberWar, há alguma relação entre eles? Para respondermos a essa questão é preciso vol­ tar um pouco na história da computação e entender co­ mo tudo começou. 1982 o vírus considerado como precursor de tudo o que vemos hoje, foi criado por um garoto de 15 anos... 1983 o pesquisador Len Eidelmen apresentou, em um seminário de segurança computacional, o que se­ ria o primeiro código de computadores com capacida­ de para se auto­replicar e no ano seguinte o termo VÍRUS foi definido como um programa com capaci­ dade de alterar o código de outros programas replican­ do assim seu código para outras partes do sistema. 1986 o primeiro virus para PC foi descoberto e a ele deram o nome de Brain. Criado para infectar a área de boot dos sistemas, o Brain era transmitido por disquetes e seu método de infecção foi bastante "po­ pular" até meado dos anos 90. 1988 o primeiro código malicioso transmitido pela internet ficou conhecido como Morris Worm e foi dis­ tribuído acidentalmente para cerca de 60.000 compu­ tadores conectados que tiveram seu sistema operacional inutilizado. A propagação e eficácia do Morris Worm foi ocasionada devido ao um erro no có­ digo do programa. Ao tentar ser processado pelos sis­ temas os mesmos acabavam sendo corrompidos.

No fim dos anos 90 e inicio dos anos 2000 tive­ mos o grande "BOOM" de propagação de vírus no mundo. Diversos Worms foram criados e milhões de sistemas foram infectados, prejudicados e até mesmo inutilizados. Alguns dos principais vírus foram o "Chernobyl" de 1999, "I love You" de 2000, "Nim­ da" de 2001, "SQL Slammer" de 2003 e "Sasser" de 2004. A principal característica entre eles? O poder de propagação e indisponibilidade de sistemas. Aproveitando a expansão dos vírus na internet, o email se tornou o principal meio de distribuição de novas pragas, cerca de 67% de todos os emails que circulam na internet atualmente são SPAM e esse nú­ mero já chegou a 97% entre o fim de 2009 e inicio de 2010. Os ataques tem se tornado mais seletivos e complexos e não tem visado apenas usuários comuns, mas executivos de grandes corporações, chefes mili­ tares e governantes. Com o aumento da capacidade de navegação e do uso dos smartphones, os códigos maliciosos começa­ ram a serem distribuídos diretamente pelos sites e aplicativos. As vulnerabilidades presentes nas aplica­ ções e browsers e a falta de conhecimento do usuário facilitam esse trabalho. Praticamente toda semana é publicada uma matéria com o aumento dos códigos maliciosos desenvolvidos para o sistema Android e não faltam artigos do mesmo problema para o iOS.
Março 2012 • segurancadigital.info

|16

ARTIGO Segurança Digital

2006 crackers russos causaram a indisponibilidade de vários sites e serviços da Estônia. Os ataques ocor­ reram em represália à remoção de uma estátua de bronze de um soldado da 2ª Guerra Mundial na cida­ de de Tallinn. A estátua era em homenagem ao triunfo soviético sobre as tropas nazistas. Os ataques foram tão intensos e por um período tão longo que especia­ listas da OTAN, União Européia e EUA se reuniram em Tallinn a fim de ajudar e tentar encontrar uma for­ ma de lidar de forma efetiva com os ataques. Diver­ sos outros países foram envolvidos nesse conflito e "felizmente" em 10 de maio de 2007 os ataques fo­ ram interrompidos abruptamente, isso só ocorreu por­ que o tempo de uso dos servidores "alugados" pelos crackers havia se esgotado. 2007 o governo chinês foi acusado de autorizar seus militares a tentarem invadir os sistemas america­ no, alemão, do reino unido e francês. De acordo com esses governos a finalidade do ataque chinês era o roubo de informações confidenciais militares. Por sua vez, o governo chinês afirmou que é totalmente con­ tra qualquer tipo de ataques do tipo e que também era vítima do mesmo tipo de ataque e que seus sistemas foram bastante prejudicados com tais atos. 2008, a Rússia foi acusada pela Geórgia de atacar virtualmente seus sistemas enquanto o exército russo invadia o país. Infraestruturas tecnológicas da Geór­ gia foram indisponibilizados. O governo russo negou qualquer acusação e "oficialmente" divulgou que os ataques foram gerados por grupos crackers. 2010 o governo Iraniano acusa os EUA e Israel de plantar um vírus com código extremamente detalhado e eficiente nos sistemas de energia nuclear do país e causar o sua interrupção. O vírus em questão é conhe­ cido como Stuxnet, sua disseminação é global e EUA, Inglaterra, Alemanha, Australia, entre outros, já informaram que também tiveram seus sistemas in­ fectados por ele. O que o torna tão especial e perigo­ so é o fato dele ter sido desenvolvido para atacar um sistema desenvolvido especificamente pela Siemens (SCADA) que é utilizado para controle de equipamen­ tos de tubulação de petróleo, centrais elétricas, aero­ portos, navios, etc. No caso em questão, as centrífugas de enriquecimento iranianas é que foram afetadas, mas nada impede que danos maiores pos­ sam ser causados, como a abertura ou fechamento de distribuição de gás ou água provocando danos físicos. Em 2010 foi divulgado pelo governo Norte Ameri­ cano um relatório de Estratégia Internacional para o Cyberespaço (ISC na sigla em Inglês) aonde é sugeri­

do que o tratado de agressões da OTAN vale também para o mundo virtual. “Todos os estados possuem um direito inerente de autodefesa, e reconhecemos que certos atos hostis realizados através do ciberespaço podem obrigar ações no âmbito dos compromissos que temos com nossos parceiros de tratados milita­ res”, afirma o documento. “Atividades realizadas no ciberespaço têm consequências para a nossa vida no espaço físico, e temos de trabalhar para a construção do estado de direito.” O relatório cita nominalmente a OTAN como exemplo desses tratados militares. Is­ so se deve ao fato de a maioria dos tratados e das leis não abrangerem a Internet como "campo de batalha". Nos últimos anos os ataques DDoS tem se intensi­ ficado e passaram a ser utilizados não apenas por “hacktivistas” mas por nações. O grupo Anonymous se tornou mundialmente conhecido ao causar a indis­ ponibilidade de sites financeiros por retirarem seus patrocínios e bloqueio de contas do Wikileaks. Visan­ do aumentar o seu poderio, começou a distribuir um aplicativo DDoS para usuários que apoiem a “causa”. O mesmo grupo está agora alertando a seus “usuá­ rios” sobre alguns links aonde distribuíam a versão do seu aplicativo de ataque DDoS. Os links foram al­ terados por “crackers” para baixar uma versão do Slowloris modificado que contém o Trojan Zeus. Zeus é responsável pelo roubo de dados pessoais e bancários nos computadores aonde está instalado e é considerado o TROJAN com maior número de infec­ ções existentes atualmente.

Figura 1 ­ Grupo de hacktivistas que se especializou em atacar grandes organizações (Interpol, CIA, etc).

A CyberWar já é uma realidade, a todo instante
Março 2012 • segurancadigital.info

|17

ARTIGO Segurança Digital

milhares de ataques são disparados e a dificuldade em identificar a sua origem ou de punir os responsá­ veis é o maior facilitador para essa propagação. Diferentemente de um ataque presencial, a INTER­ NET nos proporciona estar em contato com X pesso­ as e Y locais do mundo ao mesmo tempo. Com um pouco de conhecimento e disposição é possível fazer um grande estrago a alguém ou alguma empresa e até mesmo causar incidentes internacionais. Afinal, não há como provar que foi um indivíduo de forma inde­ pendente que invadiu a NASA e não o governo Chi­ nês. Assim como não há como provar quem tirou do ar o site do partido Comunista. Mesmo que seja acei­ to que o ataque originado não foi militar, o porque do indivíduo não ter sido identificado e capturado sem­ pre levantará suspeitas de proteção e apoio de cada nação. Um estudo realizado pela empresa de segurança Northrop Grumman, aponta o aumento da preocupa­ ção Norte Americana com o avanço tecnológico chi­ nês. A grande complexidade e distribuição dos componentes microeletrônicos e de telecomunicações dificulta, e até impossibilita, que as empresas possam atestar a autenticidade desses componentes. Firmwa­ res podem conter acessos secretos em seus códigos e um serviço de inteligência pode utilizar desse recurso para invadir os sistemas sem que seja identificado. O Governo Chinês tem investido fortemente em pesqui­ sas tecnológicas e de segurança nas Universidades do país. "Os líderes chineses adotaram a ideia de que pa­ ra vencer uma guerra é preciso ter controle externo das informações e sistemas, geralmente de forma pre­ ventiva". "Comandantes chineses podem escolher usar o acesso profundo às redes norte­americanas de logística e controlar os dados para coletar informa­ ções de alto valor em tempo real ou corromper os da­ dos sem destruir redes ou hardwares", diz o estudo. A prova de que mesmo aqui no Brasil já há preocu­ pação quanto a Cyberwar é que o Exército brasileiro finalizou recentemente duas licitações para compras de softwares de antivírus e simulação e ataques virtu­ ais que serão desenvolvidos exclusivamente por em­ presas brasileiras. O investimento de cerca de R$ 6.000.000,00 é parte da estratégia militar para alcan­ çar um alto nível tecnológico até 2015. Durante o período da Guerra Fria (capitalismo Nor­ te Americano e socialismo/comunismo Soviético), o mundo viveu momentos de tensão durante alguns di­ as com o iminente início de uma 3ª Guerra Mundial com armamentos nucleares, alguns especialistas di­

zem que uma guerra tecnológica pode ter danos supe­ riores a uma guerra nuclear. Se a 3ª Guerra Mundial ocorrer, as nações com maior poderio tecnológico são as que mais sofrerão com uma possível guerra por possuírem uma maior dependência da tecnologia, porém são elas mesmas que estão promovendo essa disputa “tecno armamen­ tista”.

Stuxnet
O Stuxnet foi o primeiro worm de computador a incluir um rootkit de CLP. Também é o primeiro worm conhecido a ter como alvo infraestrutura in­ dustrial crítica. Diversas mídias caracterizaram o Stuxnet como um vírus de computador sofisticado e complexo.

Mobilidade
Não é de agora que os dispositivos móveis tem ganho a atenção da mídia e principalmente dos usuários. Cada vez menores e com mais recursos e velocidade de processamento, eles tem se tornado uma opção vantajosa para ter acesso a informa­ ções digitais. A tendência de crescimento é expo­ nencial e a possibilidade de ter acesso ao ambiente e as informações empresariais faz com que muitas pessoas comecem a tê­los como “computador” principal em detrimento do desktops e notebooks. Este é um trecho do artigo de Luiz Felipe 3ª edi­ ção novembro da Revista Segurança Digital. Cada vez mais utilizados e presentes no dia­a­dia os dis­ positivos moveis agora estão na mira dos crimino­ sos virtuais, então não pense que só por ser um "celular/smartphone" você esta seguro ao utilizá­ lo.

Julio Carvalho
Graduado em Redes de Computadores e Pós Graduado em Auditoria e Segu­ rança de Sistemas pela Universidade Estácio de Sá, Especialista em Códigos Maliciosos e Sistemas de Correio Ele­ trônico, com mais de 10 anos de experi­ ência em Infraestrutura e Segurança de ambientes, com certificações em produ­ tos da linha Lotus/IBM e Trend Micro. Linkedin: http://br.linkedin.com/in/julioinfo Email: julioinfo@gmail.com

|18

Março 2012 • segurancadigital.info

Direito & TI – os desafios do “novo profissional do direito” em 2012

CARREIRAS: DIREITO & TI
O que você precisa saber para dar o pontapé inicial na sua carreira de advogado atuante com as questões de Tecnologia da Informação

L

ogo que a 4ª edição da Revista Segurança Di­ gital foi lançada, em janeiro passado, fui surpreen­ dida com pedidos de leitores para elaboração de um artigo sobre o profissional de Direito Digital, os ca­ minhos que devem ser trilhados, as dificuldades encontra­ das e a obtenção de informações a respeito.

O domínio do conhecimento no assunto ainda pas­ sa longe do alcance da grande maioria dos profissio­ nais, isso ocorre por alguns motivos: O primeiro deles, é o acesso acadêmico à matéria. A grande maioria dos cursos de Direito não aborda a disciplina do Direito Eletrônico, ou preferencialmen­ te chamado por algums por Direito de Informática, ou por outros como Direito Digital, Direito da Socie­ dade da Informação, Direito da Tecnologia da Infor­ mação, dentre outras denominações. Além disso, a produção doutrinária, que já foi es­ cassa, tem crescido bastante no tocante à matéria, mas ainda não percebe­se uma formação doutrinária uniforme, que fundamente a existência ou criação de um novo ramo do Direito. Existe, sim, influência das tecnologias em diver­ sos ramos clássicos do Direito. Porém, ainda não está consolidada a doutrina que trate de maneira uniforme a matéria do “Direito material Eletrônico” e do “Di­ reito Processual Eletrônico”, o que não significa di­

zer que para a matéria ser reconhecida como um ramo autônomo do Direito, deva ser estudada seguin­ do a mesma linha de pesquisa que as outras matérias tradicionais seguem. A verdade é que reconhecendo ou não como ramo autônomo do Direito, o Direito Eletrônico encontra­ se tão intrinsecamente ligado a outros ramos do Di­ reito, que não estudá­lo com mais profundidade cul­ minaria na negligência de considerações essenciais ao Direito e aos ramos do Direito atingidos pelas tec­ nologias, o Direito Penal e o Direito de Autor como exemplos. Enquanto profissional que abraçou a matéria do Direito Eletrônico no desempenho das atividades la­ borais diárias, reconheço inúmeras dificuldades, den­ tre elas a busca em desenvolver a matéria na região Nordeste do Brasil, que já é nacionalmente reconhe­ cida como pólo tecnológico, com suas empresas de Tecnologia da Informação. O grande desafio é trazer este reconhecimento também para os profissionais que atuam nas questões que envolvem Direito e Tec­ nologia na região. São Paulo e Rio de Janeiro já contam com grandes bancas de advogados especializados na influência das tecnologias sobre o Direito. Mas o que de fato constitui o diferencial destes

|19

Março 2012 • segurancadigital.info

ARTIGO Segurança Digital

profissionais que se dedicam ao estudo de uma maté­ ria tão pouco divulgada diante de tantas outras oportu­ nidades que o Direito possui? A possibilidade de inovar e de fazer parte da criação de uma doutrina na­ cional sobre o assunto. Poucas são as áreas do Direito que ainda possuem espaço para absorverem tal nível de inovação. Ao mesmo tempo, inovação exige um perfil empre­ endedor do profissional, que aposta num ramo ainda em desenvolvimento no mercado nacional, e que se mostra bastante promissor. Por isso, aproveitando a oportunidade que tenho para falar de minhas próprias experiências no ramo, indico que os interessados busquem, além da leitura doutrinária, essencial à formação científica do pesqui­ sador, cursos especializados na área do Direito e Tec­ nologia da Informação. Estes cursos acabam por dar o impulso inicial na formação científica do profissional, estabelecendo contato com professores que além de doutrinadores no assunto, são profissionais de sucesso da área, além de pôr o aluno em contato com o que há de produção doutrinária no assunto. Dentre os cursos especializados em Direito e Tec­ nologia da Informação existentes no Brasil, seguem algumas sugestões: Especialização em Direito e Tecnologia da In­ formação – Escola Superior da Advocacia ESA – SP (mais informações em: http://esaoabsp.edu.br/Curso.aspx?Cur=229) Curso de Curta Duração em Direito da Tecno­ logia da Informação – Universidade de Fortaleza UNIFOR (mais informações em: http://www.unifor.br/index.php?option=com_conte nt&view=article&id=3385&Itemid=1408)

Pós Graduação em Direito da Tecnologia da In­ formação – Fundação Getúlio Vargas FGV (mais informações em: http://www5.fgv.br/fgvonline/InternaInternaCurso. aspx?prod_cd=DTIEAD_00) Mestrado Científico em Direito Intelectual – Universidade de Lisboa FDUL (mais informações em: http://www.fd.ul.pt/CursosAlunos/MestradoCientifi co/201112/DireitoIntelectual.aspx) Mestrado em Direito das Telecomunicações e Tecnologia da Informação – Universidad Carlos III de Madrid (mais informações em: http://www.uc3m.es/portal/page/portal/postgrado_ mast_doct/masters/Master_en_Derecho_de_las_Tel ecomunicaciones_y_TI) Para os curiosos do assunto e que desejam ler mais a respeito do assunto Segurança e Internet, segue link com uma lista de vários blogs especiali­ zados no assunto, fornecidos pelo leitor Moises de Oliveira Cassanti: http://sseguranca.blogspot.com/2011_10_01_archiv e.html

Lígia Barroso

MBA em Direito Eletrônico – Escola Paulista de Direito (mais informações em: http://www.epd.edu.br/cursos/pos­graduacao/mba­ em­direito­eletronico) Especialização em Direito Eletrônico e Inteli­ gência Cibernética – Faculdade Especializada em Direito FADISP (mais informações em: http://www.fadisp.com.br/posgraduacao.php?pagin a=cursos_direito_eletronico)

Advogada, atuante em Direito Eletrônico e Propriedade Intelectual. Mestranda em Di­ reito da Propriedade Intelectual na Univer­ sidade de Lisboa (FDUL), Especialista em Direito Eletrônico e Tecnologia da Infor­ mação pelo Centro Universitário da Gran­ de Dourados (UNIGRAN).

Email: ligiabarroso@hotmail.com Twitter: @ligiaabarroso

|20

Março 2012 • segurancadigital.info

DNSSEC - O antídoto contra os ataques DNS
Introdução
O DNS é um dos principais serviços de infraestru­ tura da internet. Entretanto, na época que foi criado não havia uma preocupação com a segurança, tornan­ do­o vulnerável a vários tipos de ataques, que usam dados falsos para redirecionar o tráfego da Internet pa­ ra sites fraudulentos e endereços indesejados. A exten­ são DNSSEC provê a segurança necessária para mitigar esses ataques.

ponto central com as informações de todos dos domí­ nios do planeta, o que facilitaria ataques direcionados visando um “apagão” da internet. A descoberta dos servidores que respondem por um domínio é chamado de resolução do nome ou re­ solução de domínio. Resumidamente inicia­se por um servidor DNS primário que aponta outro secun­ dário e assim sucessivamente.

Servidor raiz O que é DNS?
Antes, precisamos conhecer o DNS (Domain Na­ me System). É um sistema usado em redes TCP/IP pa­ ra a organização e identificação de domínios. Ele fornece um nome para um ou mais endereços IP de um domínio, facilitando a memorização de URLs e endereços de e­mail. Sem o DNS, seria necessário di­ gitar números para cada visita a um site, pois os com­ putadores e outros dispositivos usam endereços IP para se comunicarem e se identificarem na rede mun­ dial. O DNS armazena um registro de cada domínio existente, definindo o IP (ou vários IP’s) do servidor de hospedagem. Por questões de segurança e também devido ao crescente tráfego da internet, decidiu­se que a estrutura seria hierárquica e descentralizada (distribuída globalmente). Não há somente um único O servidor DNS que está no topo da internet é o servidor raiz, conhecido também como root server. Possui uma pequena tabela que indica qual DNS será responsável pela resolução dos domínios para cada extensão de domínio (Top Level Domain) diferente. Os Top Level Domains são de dois tipos: gTLDs (Generic Top Level Domains – domínios genéricos como .edu, .com, .org, etc.. ) e ccTLDs (Country Co­ de Top Level Domains – extensões de domínios ad­ ministrados pelos países). Como exemplo de ccTLDs, a Registro.br responde pelos domínios .br, já para gTLDs podemos citar a Verisign como res­ ponsável pelos domínios .com Existem 13 servidores DNS raiz lógicos (conheci­ do por uma letra do alfabeto, de A a M), e centenas de servidores físicos no mundo todo (inclusive no Brasil) controlados por várias empresas e organiza­
Março 2012 • segurancadigital.info

|21

ARTIGO Segurança Digital

ções como a Verisign e a ICANN. A figura abaixo mostra a localização deles ao redor do planeta. detectáveis, validan­ do os dados e garan­ tindo a origem das informações. Note no gráfico abaixo que não é de agora que essa exten­ são vem sido discuti­ da. Em 2010 o DNSSEC foi imple­ mentado nos root­ servers. Alguns do­ mínios chave como .gov, .org, .edu e .net passaram a estar ap­ tos para utilizar a ex­ tensão. Uma boa notícia é que a Regis­ tro.br já iniciou a im­ Localização dos Root Servers no mundo. Photo by Google Maps. Taken plementação nos FROM www.root­servers.org domínios jus.br e b.br. Para esses, o DNSSEC é de uso obrigatório, pa­ DNSSEC Infelizmente o sistema DNS apresenta determina­ ra os demais ainda é opcional. Você pode testar o uso das vulnerabilidades usadas principalmente em ata­ digitando a URL www.seubanco.b.br ques de phishing, desviando a navegação para um domínio malicioso sem o consentimento (e o conhecimento) do usuário. Os dois exemplos mais re­ correntes de ataques são o DNS Spoofing (também conhecido como DNS Cache poisoning) e o Man­ In­The­Middle. Um dos maiores proble­ mas existentes é que esses ataques são ex­ tremamente difíceis de serem detectados e na pratica impossí­ vel de serem preve­ nidos. O DNSSEC (Domain Name System Security Ex­ tension ) é uma extensão criada pelo IETF (Internet Engineering Task Force) que adiciona recursos de se­ gurança ao DNS com o intuito de tornar esses ataques

Histórico do DNSSEC. Photo by VeriSign.

O DNSSEC utiliza a famosa tecnologia de cripto­ grafia assimétrica que utiliza um par de chaves, uma pública e uma privada. Cada zona retorna as consul­
Março 2012 • segurancadigital.info

|22

ARTIGO Segurança Digital

tas DNS com assinaturas digitais. A confiança do cli­ ente nessas assinaturas é baseada numa cadeia de con­ fiança (chain of trust) estabelecida através da raiz até o topo da hierarquia. Assim, é possível que toda a ca­ deia com acesso a chave pública verifique a integrida­ de dos dados transferidos. A figura a seguir exemplifica melhor o funcionamento:

http://registro.br/suporte/faq/faq8.html http://webinsider.uol.com.br/2007/10/13/o­que­e­dns­ e­dnssec­bem­explicadinho/ http://www.networkworld.com/news/2012/011812­ dnssec­outlook­255033.html?page=1

Como funciona o DNSSEC. Photo by F5 Networks. O DNSSEC funciona melhor quando implementa­ do em toda a cadeia. Embora a infraestrutura do DNS já esteja preparada, a adoção ao DNSSEC tem sido lenta pelas ISP’s e empresas. No momento, na área de e­commerce somente o PayPal já começou a assinar seus domínios. A Verisign estima que há somente 5.500 domínios .com assinados e 2.000 domínios .net de um total de 112 milhões de domínios registrados, o que é muito pouco. Nem mesmo as agências americanas aderiram totalmente ao DNSSEC.. É possível testar se determinado site já usa o DNS­ SEC usando o DNSSEC Analyzer da Verisign http://dnssec­debugger.verisignlabs.com/

Luiz Felipe Ferreira ­ (Editor Chefe)
No mercado da TI há 9 anos, trabalhando com Segurança da Informação desde 2006. Atualmente trabalha no setor de IT Security da TV Globo. Graduado em Processamento de Dados pela UniverCi­ dade e com MBA de Gestão de Projetos e Negócios de TI pela UERJ. Possui cer­ tificações ITIL, VCP, LPI Level 1 e MCP. Email: lfferreira@gmail.com Blog: br.linkedin.com/in/luizfelipeferreira Twitter: @lfferreiras

Referências
http://en.wikipedia.org/wiki/Domain_Name_System_S ecurity_Extensions http://www.isc.org/software/bind/dnssec http://www.verisigninc.com/pt_BR/why­ verisign/innovation­ initiatives/dnssec/overview/index.xhtml?loc=pt_BR

|23

Março 2012 • segurancadigital.info

|01

Janeiro 2012 • segurancadigital.info

LDAP Injection – Como Funciona o Ataque e Como se Proteger

1. Introdução
A maioria das organizações de médio e grande por­ te possui uma grande quantidade de informações críti­ cas, sensíveis e até mesmo confidenciais armazenadas em bancos de dados. Apesar de os servi­ dores de banco de dados estarem geralmente na rede interna destas organizações, protegidos por firewalls e outros mecanismos de defesa, muitas aplicações acessíveis pela Internet possuem acesso a estes servi­ dores. Estas aplicações recebem entradas de dados e as utilizam para realizar consultas nos servidores de BD. Quando a aplicação não valida ou trata correta­ mente a entrada de dados, um atacante pode conse­ guir modificar as consultas realizadas pela aplicação para realizar diversas atividades maliciosas, incluindo burlar o controle de acesso, obter dados sensíveis e até mesmo alterar dados armazenados. Este tipo de fragilidade em aplicação é conhecido como “Injecti­ on”, e sem dúvida as falhas do tipo “SQL Injection” estão entre as mais divulgadas e exploradas. Vulnerabilidades de “SQL Injection” têm sido am­ plamente exploradas há alguns anos por atacantes e recebido há muito tempo destaque em sites, livros e revistas de segurança. O que muitos profissionais de TI e até mesmo alguns de segurança desconhecem é que as falhas de “Injection”, ou de injeção de código, não se resumem a SQL, podendo existir em diversos

protocolos e linguagens de programação. Só para ci­ tar alguns exemplos mais documentados existem: “XPath Injection”, “LDAP Injection”, “SOAP Injec­ tion” e até mesmo “SMTP Injection”. Neste artigo, iremos abordar as falhas de “LDAP Injection” devido à criticidade que este tipo de vulne­ rabilidade está ganhando nos sistemas corporativos. As organizações estão cada vez mais utilizando os serviços LDAP para diversos propósitos, funcionan­ do como um repositório central de informações. Existe, especialmente, uma forte tendência do uso de serviço LDAP para autenticação de usuários e para suportar ambientes com “single sign­on”. Devido ao crescente uso de LDAP para autenticação e para ar­ mazenar outros tipos de dados, provavelmente os ata­ ques utilizando LDAP Injection tenderão a aumentar. Para que os profissionais de TI e de segurança este­ jam devidamente preparados para evitar este tipo de fragilidade e se proteger deste tipo de ataque é vital entender como os ataques de LDAP Injection funcio­ nam.

2. Como Funciona o Ataque
O LDAP (Lightweight Directory Access Protocol) é um protocolo para realizar consultas e modifica­ ções em serviços de diretório através do protocolo TCP/IP. Os serviços de diretório LDAP armazenam e
Março 2012 • segurancadigital.info

|25

ARTIGO Segurança Digital

organizam informações que possuem atributos em co­ mum. A estrutura de armazenamento utiliza o concei­ to de árvore de entradas de diretório. Nesta estrutura hierárquica, as operações de leitura são realizadas com maior velocidade com prejuízo para as opera­ ções de escrita. Baseia­se em orientação a objetos, no qual cada entrada no serviço de diretório corresponde a uma instância de um objeto e precisa compartilhar os mesmos tipos de atributos deste objeto. Ao se utilizar LDAP, a operação mais comum é a consulta por entrada de diretório através de filtros. A RFC 4515 define os filtros utilizados no LDAP, que podem incluir, especialmente, expressões lógicas (AND ­ &, OR ­ |, NOT ­ !) e tipos de filtros (igual =, aprox. ~=, maior ou igual >=, menor ou igual =<), bem como o caractere * para aceitar múltiplos caracte­ res em um filtro. A RFC 4526 define as strings (&) e (|) como verdadeiro (TRUE) e (FALSE), respectiva­ mente. Caso ainda não esteja familiarizado, veja um exemplo básico de consulta LDAP: (&(cn=admin)(userPassword=senha)) [a query acima, por exemplo, seria utilizada para vali­ dar um usuário e senha] O conceito básico de uma exploração de LDAP In­ jection é manipular os parâmetros enviados pelo clien­ te para a aplicação, os quais serão utilizados para construir a consulta (query) LDAP. Quando a aplica­ ção é vulnerável, a entrada de dado não sofre valida­ ção ou tratamento para impedir que os dados entrados possam modificar a estrutura ou lógica da query LDAP. Os estudos de caso nos próximos itens irão exemplificar este tipo de ataque. É importante destacar que as diversas implementa­ ções LDAP validam e tratam a sintaxe LDAP de for­ ma ligeiramente diferente. Algumas implementações toleram até mesmo sintaxes inválidas. Isto influencia diretamente nos ataques de LDAP Injection e o ata­ cante precisa levar isto em consideração para ter su­ cesso. Isto significa que uma sintaxe LDAP que funciona em uma aplicação pode não ser funcional em outra aplicação vulnerável.

número de telefone e departamento. Veja como pode­ ria ser esta requisição LDAP: (givenName=MARCOS);cn,telephoneNumber,de partment O resultado desta query poderia retornar as seguintes informações:

Imagine que o atacante deseja obter a senha do usuário “MARCOS”. Ele poderia utilizar o seguinte ataque: MARCOS); userPassword,cn;. Isto resulta­ ria na seguinte requisição LDAP: (givenName=MARCOS); userPassword,cn;);cn,telephoneNumber,department

O atacante pode melhorar o ataque e obter uma listagem das senhas de todos os usuários da aplica­ ção: *); userPassword,mail,cn;. (givenName=*); userPassword,mail,cn;);cn,telephoneNumber,depar tment

4 . E s t u d o d e C a s o 2 : B u r l a n d o A u t e n t i c a­ ção
Considere uma aplicação que realiza autenticação em uma base LDAP. Esta aplicação solicita informa­ ção de usuário e senha para autenticação, construindo a seguinte query LDAP: (&(uid=username)(userPassword=pwd)) Um atacante poderia inserir os seguintes dados: Usuário: admin)(&) Senha: qualquercoisa A query LDAP final seria: (&(uid= admin)(&))(userPassword=qualquercoisa))

3. Estudo de Caso 1: Manipulando Pesqui­ sa de Usuário
Considere uma aplicação que permite digitar o no­ me de um único usuário (ex. MARCOS) e retorna so­ mente as seguintes informações: nome do usuário,

|26

Março 2012 • segurancadigital.info

ARTIGO Segurança Digital

Apenas o primeiro filtro será processado e como a constante (&) significa absolutamente verdadeiro, es­ ta query sempre será verdadeira. Neste caso, o atacan­ te poderia se autenticar como o usuário “admin” na aplicação. Existem outras formas de realizar ataques para bur­ lar autenticação. Veja outro exemplo: Usuário: *)(uid=*))(|(uid=* Senha: qualquercoisa A query LDAP final seria: (&(uid=*)(uid=*))(|(uid=*)(userPassword=qualque rcoisa)) Esta query terá uma sintaxe correta e será sempre verdadeira, permitindo que o atacante se autentique como o primeiro usuário da árvore LDAP.

guinte filtro seria processado: (&(directory= finan­ ce)(security_level=*)). Assim, o atacante conseguiria acessar todos os documentos financeiros, incluindo os marcados como “confidenciais”.

6. Estudo de Caso 4: Efetuando Blind LDAP Injection
Muitas vezes a aplicação não retorna mensagens de erro detalhadas mostrando a sintaxe LDAP em uso. Nestes casos, o atacante precisa utilizar técnicas de inferência para determinar a existência de atribu­ tos e valores. Considere uma aplicação que permite listar informações de ativos de TI da organização: http://appvulneravel.intranet.com/lista_servidores.a spx?idserver=sysxpto A seguinte query seria utilizada pela aplicação: (&(idserver=sysxpto)(objectclass=server))

5. Estudo de Caso 3: Acessando Docu­ mentos Restritos
Imagine uma aplicação que oferece acesso a docu­ mentos de diferentes departamentos da organização e que permite apenas consulta de documentos classifica­ dos como “públicos” para usuários com permissão “public” e permite consulta de documentos classifica­ dos como “confidenciais” para usuários com permis­ são “confidential”. Por exemplo, a seguinte URL é utilizada para acessar documentos: http://appvulneravel.intranet.com/lista_documentos. aspx?caminho=finance Considere que esta aplicação utiliza a seguinte query LDAP para listar os documentos de acordo com a permissão de acesso: (&(directory=finance)(security_level=public)) Para acessar os documentos confidenciais, o ata­ cante poderia colocar os seguintes dados na URL: finance)(security_level=*))(&(directory=finance Isto resultaria na seguinte query LDAP: (&(directory=finance)(security_level=*))(&(direc tory=finance)(security_level=public)) O servidor LDAP processaria apenas o primeiro filtro, ignorando o segundo. Neste caso, apenas o se­

Após realizar esta consulta LDAP, a aplicação re­ torna informações sobre o servidor como endereço IP e administrador responsável.

Imagine que um atacante estivesse interessado em descobrir atributos adicionais para obter mais infor­ mações sobre o servidor, que não são reveladas pela aplicação, como, por exemplo, sistema operacional e localização física. Neste caso, o atacante teria que fa­ zer testes de inferência para descobrir nomes de atri­ butos adicionais. Como um teste inicial, o seguinte valor poderia ser colocado no parâmetro “idserver”: sysxpto)(invalido=*). A seguinte consulta LDAP se­ ria formada: (&(idserver=sysxpto)(invalido=*))(objectclass=ser ver)) A aplicação provavelmente apresentaria uma pági­ na sem informações ou apresentaria alguma mensa­ gem de erro. Em seguida, o atacante poderia testar um atributo mais provável: sysxpto)(ipaddress=*), para formar a seguinte consulta: (&(idserver=sysxpto)(ipaddress=*))(objectclass=s erver))

|27

Março 2012 • segurancadigital.info

ARTIGO Segurança Digital

Assumindo que o nome de atributo ipaddress exis­ te, a aplicação retornaria normalmente as informa­ ções sobre o servidor sysxpto. Para descobrir atributos adicionais, o atacante poderia utilizar um script que automatize tentativas utilizando um dicio­ nário de possíveis atributos, interpretando a resposta como VERDADEIRA quando a aplicação retorna in­ formações e FALSA quando a aplicação não retorna informações. (&(idserver=sysxpto)(location=*))(objectclass=serv er)) (&(idserver=sysxpto)(system=*))(objectclass=serve r)) (&(idserver= sysxpto)(os=*))(objectclass=server)) ... E o que dizer de valores de atributos? Um atacante pode extrair valores através de buscas por conjuntos de caracteres (pode até mesmo utilizar a tabela AS­ CII). Imagine que o atacante deseja extrair o valor do atributo location do servidor sysxpto. Um script pode­ ria começar testando a primeira letra do atributo fa­ zendo uma busca alfabética: (&(idserver=sysxpto)(location=a*))(objectclass=se rver)) (&(idserver=sysxpto)(location=b*))(objectclass=se rver)) (&(idserver=sysxpto)(location=c*))(objectclass=se rver)) … O mesmo teste anterior se aplica aqui. Quando a aplicação retorna uma resposta com informações, o script determina que o caractere testado está correto, e quando a aplicação não retorna informação, o script determina que precisa continuar a busca. Veja agora o exemplo abaixo: (&(idserver=sysxpto)(location=ri*))(objectclass=s erver)) Se o script receber uma resposta com informações, a localização certamente começa com “ri” e a busca pode continuar a partir da 3ª posição. É possível utili­ zar uma técnica conhecida como “charset reduction” para aumentar a velocidade de obtenção de valores. Por exemplo, o seguinte teste pode ser utilizado para verificar se a letra “j” existe em alguma posição no

atributo location: (&(idserver=sysxpto)(location=*j*))(objectclass=se rver)) Estes exemplos não deixam dúvida de que atacan­ tes não precisam necessariamente de mensagens de erro ou de informações detalhadas da aplicação para extrair informações através de LDAP Injection.

7. Como Evitar
Para evitar falhas de LDAP Injection, deve­se tra­ tar todas as entradas de dados da aplicação, especial­ mente, as entradas de dados que serão utilizadas em consultas LDAP. É importante destacar que a melhor abordagem de validação de entrada de dados é a abordagem “white­list”, onde apenas os tipos de da­ dos estritamente necessários são aceitos. Isto pode ser feito através de expressões regulares de negação por padrão. Por exemplo, pode­se aceitar apenas va­ lores numéricos ou alfanuméricos em uma entrada de dado. Deve­se, sempre, validar e tratar a entrada de da­ dos no lado servidor (exs. código .NET, Java ou PHP), não apenas no lado cliente (ex. através de Ja­ vaScript). Em especial, parênteses )(, asterisco *, operadores lógicos (&, |, !) e operadores relacionais (=, ~=, >=, =<) devem ser rejeitados ou tratados pela aplicação. Em alguns casos, pode ser necessário in­ cluir estes caracteres em consultas LDAP. Se este for o caso, utilize a técnica de “escaping” para evitar que o interpretador LDAP considere estes caracteres co­ mo parte da query LDAP. O OWASP (Open Web Ap­ plication Security Project) mostra como realizar “escaping” destes caracteres em Java: https://www.owasp.org/index.php/Preventing_LDA P_Injection_in_Java Como medida de proteção adicional, é importante realizar configurações de controle de acesso no servi­ dor LDAP. A aplicação web deve ter o mínimo de privilégio requerido ao se conectar no servidor LDAP e permissão de escrita deve ser concedida ape­ nas quando estritamente necessário.

|28

Março 2012 • segurancadigital.info

ARTIGO Segurança Digital

8. Referências
LDAP Injection & Blind LDAP Injection in Web Applications ­ Chema Alonso, Rodolfo Bordón, Antonio Guzmán y Marta Beltrán LDAP Injection – Are your web applications vulnerable? – SPI Dynamics The Web Application Hacker’s Handbook – Discovering and Exploiting Security Flaws – Dafydd Stuttard and Marcus Pinto OWASP (The Open Web Application Security Project) ­ Testing for LDAP Injection RFC 4515 ­ Lightweight Directory Access Protocol (LDAP): String Representation of Search Filters RFC 4526 ­ Lightweight Directory Access Protocol (LDAP) Absolute True and False Filters

Bruno Cesar Moreira de Souza
Sócio e Diretor Técnico da Able Se­ curity, CISSP desde Jan/2007, OSCP, GCFE, Bacharel em Siste­ mas de Informação pela PUC­Rio, com mais de 11 anos de experiência em segurança da informação, espe­ cialista em testes de intrusão e perí­ cia forense computacional. Tem prestado consultoria para organizações de diversos segmentos, no Brasil e no Reino Unido. E­mail: bruno.souza@ablesecurity.com.br Site: http://www.ablesecurity.com.br

|29

Março 2012 • segurancadigital.info

Pericia Digital: Conheça a arte da investigação "digital"

Quando o assunto é buscar evidências eles são uns verdadeiros experts no assunto

ém er gu nd n ni co s s le a e de a rto nad Pe m te

Em edições passadas da Revista Segu­ rança Digital, tivemos casos reais de forense, e até mesmo um artigo referente ao curso de forense digital oferecido pela 4Linux. Recomendo a leitura das edições passadas...
combate aos crimes cibernéticos requer a existência de evidências e provas de sua existência, que permi­ tem o pleno convencimento do suposto ato e com is­ so possibilitando punição das condutas criminosas. A partir disso surgi a figura do profissional em pericia digital sendo responsável por descobrir evidências em sistemas computacionais, em periféricos e dispo­ sitivos de armazenamento. “O perito digital será a função indispen­ sável a justiça, tal como o advogado, pois através dele inocentes não serão condenados e culpados não serão absolvidos.” Pois bem para realizar essa missão eles fazem uso de diversos equipamentos especiais. Conheça agora um pouco do muito que esses pro­ fissionais são capazes de fazer. Bem­vindos à polícia da era digital. Você acha que ao apagar qualquer informação co­ mo fotos, conversas do chat, páginas acessadas na in­ ternet ou formatar o HD estão definitivamente excluídos e as mensagens confidenciais do celular e também esconder ou proteger com senha as informa­ ções, você pensa que ninguém vai conseguir ter aces­ so. É pensando assim para pessoas comuns isso tudo pode fazer parte da realidade delas. Mas para um pe­
Março 2012 • segurancadigital.info

S

e você é ligado em seriados policiais, filmes envol­ vendo investigações ou coisa parecida, até mesmo o CSI já deve ter visto profissionais fazendo análi­ ses e outros procedimentos minuciosos em busca de infor­ mações e extraindo dados importantes que nem se imaginava que pudesse encontrar, essa extraordinária ciên­ cia é chamada de pericia. Apesar de muita coisa não pas­ sar de ficção, há alguns casos espelhados na vida real.

Mas sim vamos sair um pouco da ficção e entrar na realidade dos fatos, bem até então dei a ideia do que é termo pericia, como você deve saber existem vários tipos de pericias e nesse caso a ser abordado aqui é a pericia digital ou como é conhecida também de forense computacional onde esta se faz cada vez mais conhecida e de suma importância devido o au­ mento de crimes praticados por meio do uso dos re­ cursos computacionais pela própria disponibilidade de uma conexão à Internet e o uso de programas de computador, além do suposto anonimato encontrado, em muitos casos, é suficiente para permitir a qual­ quer indivíduo experimentar variadas condutas crimi­ nosas que você certamente já está cansado de observar pela mídia. Dentre os casos mais comuns es­ tão roubo de informações confidenciais, ataque de ne­ gação de serviços, espionagem, transmissão de fotos e vídeos de pedofilia entre outros. Portanto assim como no caso de crimes comuns, o

|30

ARTIGO Segurança Digital

rito digital as coisas são completamente diferentes, perto deles ninguém tem nada a esconder. Veja algumas das suas tarefas a seguir. Nota: Primeiramente cabe lembrar que peritos digi­ tais só podem extrair dados com a autorização prévia do dono ou com mandado judicial, pois caso contrá­ rio é crime.

te, que tem mais de cem cabos integrados e organiza­ dos em uma maleta, compatíveis com diversos equipamentos móveis como mostrado logo abaixo.

Recuperação e extração de dados HD
Foi se o tempo que formatando o HD não fosse possível recuperar nada. Na verdade um arquivo só é apagado quando uma nova informação é escrita em ci­ ma do espaço que ele ocupava antes no disco. Mas, mesmo assim, para que não seja possível recuperar as tais preciosas informações, os peritos dizem que seria necessário regravar ou formatar um disco por 25 ve­ zes, utilizando técnicas variadas. Em computadores, existe uma série de ferramentas que ajuda na perícia digital. Umas já cumprem o pa­ pel de vários recursos durante todas as fazes dos exa­ mes forenses, possibilitando fazer um raio­x completo da máquina como recuperação de arquivos, e­mails, visualização de vários formatos diferentes de arquivos, programas que já foram instalados entre ou­ tras funcionalidades. Entre as ferramentas podemos ci­ tar o Encase, FTK e o Helix.

Outra solução é o software Mobiledit Forensic que pode realizar extrações dos dados do celular.

Dados ocultos
Já faz parte dos artifícios dos cibercriminosos ca­ da vez mais experientes não deixar informações aces­ síveis, em muitos casos é comum o perito encontrar dados criptografados ou ainda um pouco mais avan­ çados utilizarem a técnica de esteganografia que já dei uma base sobre esse assunto na 3ª edição da re­ vista. O processo de acesso a informações nesses tipos de estados é possível através da análise do hexadeci­ mal do arquivo e identificar caracteres que não cor­ respondem a uma imagem e com base nisso descobrir onde foi lançada a senha da esteganografia e então zera­la em hexadecimal e, portanto descobrindo o conteúdo oculto sem precisar descobrir qual é a se­ nha de fato. E falando sobre senhas hoje existem muitos programas para quebra de senha, vale lembrar quanto mais fácil for a senha mais rápida será que­ brada.

Memória RAM
A memória RAM, sabemos que ela é volátil, isto é, todo o seu conteúdo é perdido ao desligar o compu­ tador, o que muitos não sabem é que todo tipo de in­ formação passa por ela desde senhas digitadas, uma conversa no chat e assim por diante, mas mesmo após o desligamento ou reiniciar a máquina ainda sim é possível ter acesso a essas informações que podem fa­ zer toda diferença sobre o delito questionado. Entre as técnicas utilizadas para conseguir ter aces­ so às informações está no que eles chamam de Dump (Cópia integral) da memória, umas das ferramentas que cumprem esse papel pode­se citar o Computer Online Forensic Evidence Extractor (COFEE).

Mudando de assunto
Você sabia? Que todo dispositivo USB como o pen drive possui uma identificação única e esta in­ formação fica registrada nos com­ putadores quando é plugado. Por exemplo, se o pen drive foi conectado a um computador Win­ dows e depois em um Linux, em uma análise será encontrado a mesma identificação do pen drive nos dois equipamentos. Um exemplo de ferramen­ ta que permite ver essa identificação é o software USB Deview.

Celular
Em uma pericia quando o assunto é celular exis­ tem diversas ferramentas que possibilitam ter acesso a todas as informações do celular desde mensagens, fotos, músicas, agendas e até mesmo aquilo que já foi apagado pelo usuário. Umas das soluções é o Cellebri­

|31

Março 2012 • segurancadigital.info

ARTIGO Segurança Digital

Já em contagem regressiva este artigo está chegan­ do ao fim, aqui apenas passei um pouco do que é a pe­ ricia digital. Pela qual é uma área que está sendo bem mais procurada devido as infinitas irregularidades pra­ ticadas por meio dos recursos computacionais e a pro­ cura por profissionais capazes de encontrarem as pistas e provas necessárias para condenar os responsá­ veis por estes crimes é urgente. Gostou da área? Logo abaixo estão algumas instru­ ções para ser um profissional. É claro que existem muitas outras em nível de especialização e treinamen­ to, agora nível de mestrado não, pelo menos aqui no Brasil.

Resumo
Em resumo a pericia digital ou forense compu­ tacional tem como principal objetivo identificação, preservação, coleta, interpretação e documentação de evidências digitais. Evidência digital, pode ser compreendida pela informação armazenada e/ou transmitida em for­ matos ou meios digitais. Na sua grande maioria o “conteúdo” de uma evidência, é frágil e volátil, o que requer à atenção de um especialista certificado ou capacitado a fim de garantir que os materiais de valor probatório possam ser efetivamente isolados e extraídos de forma correta e licitamente. Uma pericia mal executada pode comprometer todo o processo, desde, a coleta dos dados até apresentação e documentação destes. Para exemplificar, vamos pegar o exemplo de um Dump de memória. Um perito tem como objetivo coletar informações de uma possível cena de crime digital, este por sua vez executa diversos softwares na máquina antes mesmo de realizar o Dump de memória. Qual o problema disso? Este “perito” provavelmente esta “sobrescrevendo” partes da memória RAM (volátil) que poderiam conter informações essenciais a investigação. Em uma cena como esta o Dump de memória é a primeira atividade a ser executada.

Nível Pós Graduação Lato Sensu:
­Pericia Digital na UCB (Universidade Católica de Brasília) ­Computação Forense na Mackenzie.

Mestrado:
Engenharia Elétrica, área de concentração: Infor­ mática Forense e Segurança da Informação na UNB (Universidade de Brasília).

Treinamento:
Legaltech­Consultoria,Pericia Digital e Treinamen­ to.

Livro recomendado:
Desvendando a Computação Forense de Pedro Eleutério e Marcio Machado, Peritos Criminais Fede­ rais da Policia Federal. É uma ótima obra e de lingua­ gem clara sobre o assunto.

Referências
ELEUTÉRIO, Pedro. M.S; MACHADO, Márcio. P. Desvendando a computação forense. São Paulo: Novatec, 2010. Vídeo ­ A arte da pericia digital

Crescimento ­ A pericia forense é uma área que tem crescido muito nos últimos anos. E com o surgimento cada vez mais acelerado de novas tecnologias, este crescimento será sempre ascendente.
Nágila Magalhães
Graduada em Tecnologia em Redes de Computadores pela FCAT. Apaixonada por tecnologia e ciberespaço, com conhecimen­ to nas áreas de segurança computacional e computação forense pelo qual tenho enorme interesse e admiração. Atualmente atuando como colaboradora das Revistas Segurança Digital e Espírito Livre. E­mail: nagilamagalhaes@gmail.com Twitter: @netnagila

|32

Março 2012 • segurancadigital.info

OpenStack solução para construção de nuvens

TENHA SUA PRÓPRIA NUVEM
Nunca foi tão fácil construir uma nu­ vem. A comunidade OpenStack é um grupo global de desenvolvedores que trabalha de forma colaborativa em prol de um SO baseado em código aberto para nuvem.

R

esumindo em poucas palavras, o OpenStack é um software para construção de nuvens públicas e pri­ vadas, de fácil implementação, massivamente es­ calável e rico em recursos. Este, por sua vez, é uma iniciativa do Hackspace e NASA, criada em julho de 2010.

outros sistemas não possuem para este nível de pro­ cessamento.

Recursos da ferramenta
Controla e automatiza conjunto de recursos; Aloca recursos com eficiência; Capacita admins & usuários via portal de auto­ gestão; Capacita desenvolvedores para escrever aplica­ ções conscientes da nuvem via APIs. O objetivo deste artigo não é pontuar todas as ca­ racterísticas e recursos do OpenStack, mas sim dar uma visão geral do que este sistema é capaz. Sendo assim a lista anterior não pode ser considerada com­ pleta.

As qualidades e características do OpenStack são tantas que não dá para transcreve­las aqui neste arti­ go, sendo assim vou frizar alguns pontos importantes ao decorrer deste conteúdo, havendo interesse basta realizar pesquisas na web sobre a ferramenta aqui abordada.

Características da ferramenta
Desenvolvimento aberto sobre uma licença Apache 2; Código fonte disponível publicamente; Comunidade aberta, processos e documentação transparentes; Desenho modular para distribuição flexível via API; Padrão emergente suportado por grandes ecos­ sistemas; Projetado para escalar de forma econômica; Pode ser processado em 100 ou até mesmo mil ser­ vidores, ou seja, possui uma escalonabilidade que

Crescimento do OpenStack
Imagem ilustrativa
Março 2012 • segurancadigital.info

|33

ARTIGO Segurança Digital

Mesmo sendo um projeto relativamente “novo”, es­ te conta atualmente com o apoio e contribuição de mais de 150 empresas e dois mil e trezentos partici­ pantes. Vale ressaltar ainda que este número continua crescendo. O OpenStack é uma opção viável, eficien­ te e de qualidade para a nuvem. Sem dúvida, outro fa­ tor que contribui em muito para o rápido crescimento deste sistema, é o fato de ele ser uma solução de códi­ go aberto, isso garante uma flexibilidade incrível para um sistema que já é considerado a melhor opção de SO para criação e gerenciamento de nuvens.

Na edição passada da Revista Segurança Digital foi publicado um conteúdo intitulodo "Segurança da Informação: Previsões para 2012" onde a questão da cloud é rapidamente revista e pontos importantes são mencionados. Recomendo fortemente a leitura deste conteúdo.

Nota
Durante a conferência OpenStack, que aconteceu em Boston, a CEO da Canonical, Jane Silber, anunci­ ou que a Hewlett­Packard escolheu o Ubuntu como distribuição Linux para ser o seu sistema base de nu­ vem pública. Silber disse ainda que o Ubuntu é uma boa escolha para as nuvens OpenStack, devido à sua extensa flexibilidade e escalabilidade, além de ser um sistema host seguro.
Figura 1 ­ Logo do OpenStack.

Cloud Computing
O conceito de cloud computing (em português, computação em nuvem) refere­se à capacidade de se utilizar recursos de processamento e armazena­ mento que se encontram externos a sua máquina. Os computadores/servidores que oferecem este re­ curso chamado cloud, geralmente estão interliga­ dos por meio da rede mundial de computadores (internet), esta interconectividade entre as máquinas que formal a cloud é chamada de com­ putação em grade e as vezes alguns a chamam de computação distribuída. Em resumo os benefícios oferecidos pela cloud são, disponibilidade de recursos conforme necessi­ dade (escalabilidade), acessibilidade e disponibili­ dade.

Recursos incorporados à plataforma
OpenStack Compute ­ os novos recursos incluem um scheduler distribuído, permitindo que máquinas virtuais sejam implantadas, um modo de rede de alta disponibilidade para evitar tempo de inatividade, se um servidor primário falhar, suporte para um novo sis­ tema de autenticação, além de um sistema OpenStack Identity Management (gerenciamento de identidade OpenStack). OpenStack Object Storage ­ um novo multi­clus­ ter container sync permite que um usuário escolha contêiner por contêiner com base nos dados para repli­ cação de clusters situado em múltiplas localizações geográficas. OpenStack Image Service ­ Atualizações para o serviço de imagem incluem um processo de filtragem e busca novas capacidades através da API, uma carac­ terística muito requisitada pelos prestadores de servi­ ços que apoiam um grande número de clientes globais.

Fábio Jânio Lima Ferreira ­ (Diretor e Diagramador)
Analista de suporte técnico, administra­ dor de redes, programador, ativista e de­ fensor do software livre. Sem sombra de dúvida o campo da segurança computaci­ onal me seduz como nem uma outra área. Apaixonado por tecnologia e fasci­ nado pela cultura hacker. Email: fabiojanio@segurancadigital.info Blog: www.fabiojanio.com Twitter: @_SDinfo

Sugestão ­ Leitura sobre cloud...
Mesmo a cloud computing se apresentando como uma solução benéfica ao futuro das empresas e negócios co­ mo um todo, é preciso tomar cuidado quanto ao seu uso.

|34

Março 2012 • segurancadigital.info

Otimização de Links WAN

Q

uando pensamos em links WAN (links de dados de longa distância), normalmente associa­se com a re­ lação entre custo e velocidade. Quanto mais rápido for o link, maior o custo. Como usufruir da melhor manei­ ra o investimento nessa tecnologia indispensável para em­ presas que possuem escritórios distribuídos geograficamente, e ainda assim manter a segurança deste link?

Para entendermos melhor os conceitos que serão descritos, imaginemos o seguinte cenário: uma empre­ sa de advocacia possui escritórios em três grandes ca­ pitais, como São Paulo, Rio de Janeiro e Brasília. Esta empresa possui um sistema online de controle de processos, no qual o servidor fica na matriz em São Paulo, assim como as pastas de documentos diversos compartilhadas entre todas as filiais. Diariamente os funcionários acessam o sistema para consulta e entra­ da de dados e compartilham arquivos. Para minimizar os custos e por segurança, o acesso à Internet das fili­ ais também é feito exclusivamente através da matriz. Neste suposto cenário fica claro que a utilização dos links entre todos os escritório é largamente utiliza­ do e vital para o bom funcionamento da empresa, po­ rém, nesta utilização dos links está incluído o acesso à Internet de forma geral: sites de notícias, governa­ mentais, blogs, vídeos e até redes sociais. Estes sites ocupam parte significativa da banda do link, em espe­

cial os vídeos, como YouTube, por exemplo. Para mi­ nimizar esta utilização em demasia, é comum que empresas bloqueiem estes sites através de servidores Proxy ou filtros de conteúdo, mas é muito comum que estes sites tenham que ser utilizados para fins de trabalho também, além, é claro, de proporcionar mo­ mentos de relaxamento durante as horas de expedien­ te, o que pode também ser produtivo para o funcionário. Bloquear ou não estes sites que conso­ mem muita banda não é ponto em questão aqui, mas sim administra­los. O gráfico abaixo demonstra um exemplo de utili­ zação de um link WAN de 2Mbps de uma filial para a matriz, no qual é compartilhado o acesso à Internet, assim como às aplicações desenvolvidas para o fun­ cionamento da empresa. Nota­se que em momentos de acesso à YouTube, por exemplo, o consumo de banda é bastante alto e é sacrificada a banda que se­ ria necessária para as aplicações.

|35

Março 2012 • segurancadigital.info

ARTIGO Segurança Digital

Torna­se necessário, portanto, para garantir a boa performance das aplicações mais essenciais, primeira­ mente, visualizar e entender quais tipos de dados es­ tão sendo transmitidos no link. Para tal existem ferramentas no mercado que fazem este tipo de análi­ se e geram gráficos semelhantes ao descrito. Uma vez analisada a utilização do link, o próximo passo é blo­ quear a transmissão de dados que não são relevantes, como por exemplo, pacotes de dados de jogos online, sites ilícitos ou que ferem a política de utilização dos recursos da empresa, etc. Este tipo de procedimento fornece à equipe de segurança um maior controle so­ bre o que se passa dentro da rede das filiais e através do link WAN e deveria ser aplicado sempre que possí­ vel. Uma vez limpo o tráfego no link para que transi­ tem somente os dados realmente necessário, deve ser feito o controle da quantidade de banda designada pa­ ra cada tipo de aplicação. Por exemplo: pode ser deci­ dido que, neste link de 2Mbps, acesso à sites como YouTube ou conteúdo de vídeo, poderá ser utilizado somente 512Kbps da banda total. Isso garantirá a boa velocidade e tempo de resposta das aplicações mais importantes e ao mesmo tempo permitir que os usuári­ os tenham acesso ao conteúdo da Internet. Porém, como o objetivo é otimizar a utilização do link e usufruir da melhor forma possível o investimen­ to feito, esta solução não é suficiente. Imagine a situa­ ção que, em um determinado momento a empresa está utilizando pouco o link, somente 1Mbps dos 2Mbps contratados. Ainda assim, o acesso à sites de vídeo continuam limitados aos 512Kbps configurados pelo sistema de controle. O restante da banda não es­ tá sendo utilizado e assim, desperdiçado. A solução é aplicar políticas que controle o acesso à aplicações incluindo o fator "prioridade". Seguindo nosso exemplo anterior e aplicando essa nova políti­ ca, o acesso à sites de vídeos terá permissão de utili­ zar 512Kbps como antes, porém ela poderá utilizar até 100% do link caso não concorra com outras aplica­ ções mais prioritárias, como as aplicações empresari­ ais ou compartilhamento de arquivos. Uma vez que uma aplicação mais prioritária deseje utilizar o link, ela terá um espaço na banda determinado para o bom funcionamento e quem irá ceder espaço, desta vez são as aplicações menos prioritárias, como o YouTu­ be, no nosso exemplo. O gráfico abaixo mostra o fluxo de dados transmi­ tido pelo menos link, porém agora com controle de banda por aplicações. Nota­se que em determinado

momento, quando as aplicações empresariais não re­ querem muita banda, outras aplicações que eram li­ mitadas, agora podem utilizar mais espaço no link, não desperdiçando a banda contratada.

Por fim, uma vez analisado os tipos de tráfego que são transmistidos pelo link e controlar sua utilização de banda para otmizar a performance das aplicações mais essenciais, pode­se também fazer uso de tecno­ logia de deduplicação de dados, ou seja, evitar que o mesmo dado seja transmitido mais de uma vez atra­ vés do link, como por exemplo arquivos, imagens, vídeos ou até mesmo anexo de emails, quando este é enviado à diversos funcionários da mesma filial. Quando se trata de utilizar links WAN para comu­ nicação, devemos ter em mente sempre a visualiza­ ção dos tipos de dados que são transmitidos, administrar o consumo de banda por tipo de aplica­ ções, definindo o que é mais prioritário e por fim oti­ mizar o consumo deste link. Com a aplicação destes conceitos, as empresas poderão usufruir da melhor forma possível todo o benefício do investimento nes­ ta tecnologia de transmissão.

Fernando Shayani
Empresa: criTTeria Serviços de TI Site: www.critteria.com.br E­mail: fernando@critteria.com.br

|36

Março 2012 • segurancadigital.info

Identificando as oportunida­ des e mitigando os riscos da adoção da compu­ tação na nuvem

Segurança em Cloud Computing
Introdução
Muitas empresas no Brasil já começam a entender a importância deste novo paradigma de computação nas nuvens (cloud computing). Porém em um recente estudo realizado pelo Business Software Alliance (BSA), chamado de BSA Global Cloud Computing Scorecard1, divulgado no último dia 22 de Fevereiro de 2012, foi externado à posição do Brasil no ranking dos países que estudam a adoção de computação na nuvem. O estudo baseia­se na atual agenda de iniciati­ vas para desenvolver e adotar o conceito de computa­ ção na nuvem. Resultado: o Brasil ficou em último lugar. Este estudo leva em consideração uma série de pa­ râmetros de avaliação, porém, para o contexto deste artigo é importante salientar os seguintes: Segurança, Crime Cibernético e Privacidade dos Dados. Para mensurar o quão preparado o país estava para lidar com tais temas, uma série de questionamentos foram realizados2. No tópico de Privacidade dos dados o Brasil falhou em quatro de dez perguntas. No tópico de Segurança o Brasil falhou em três de cinco pergun­ tas. No tópico de Cribe Cibernético o Brasil falhou em duas de quatro perguntas.
1 2

O objetivo deste artigo é de mostrar as vantagens da computação na nuvem do ponto de vista do negó­ cio, levantar os principais riscos que devem ser miti­ gados durante o planejamento da migração e por fim enumerar pontos importantes da migração. É impor­ tante salientar que o artigo não tem como objetivo tratar as questões legais da adoção da computação na nuvem em território Brasileiro.

As Vantagens são Muitas
Antes mesmo de saber o motivo que leva a com­ putação na nuvem ser tão atrativa para os negócios, é importante entender o que de fato é a computação na nuvem. Para isso eu vou recomendar a leitura do Ca­ pítulo 17 do Livro de Security+ (de minha autoria em parceria com Daniel Mauser)3. Neste capítulo você vai ter a definição de computação na nuvem uma sé­ rie de consideraçòes sobre sua adoção. Partindo do pressuposto que estamos agora falan­ do o mesmo idioma no que tange o conceito de com­ putação na nuvem, torna­se mais claro o impacto que tal tecnologia terá em diferentes áreas do mercado. A lista de vantagens podem e são bem mais extensas que a que apresentarei abaixo, porém quero enfatizar

Relatório completo em http://portal.bsa.org/cloudscorecard2012/assets/PDFs/BSA_GlobalCloudScorecard.pdf Ver página 12 do relatório citado na nota 1. 3 Você pode baixar o capítulo 17 no site do livro, em www.securityplusbr.org

|37

Março 2012 • segurancadigital.info

ARTIGO Segurança Digital

os três principais fatores de motivação para migração para nuvem: Demandas Econômicas: com a premissa de que você só vai pagar pelo que você usa há uma ten­ dência natural de redução de custo. Junto com a re­ dunção de custo vem a capitalização em cima do uso do serviço sobre demanda. O modelo de licen­ siamento fica simplificado e com um custo benefí­ cio mais atraente. Redução de Gerenciamento: a partir do mo­ mento que se passa a consumir o software como um serviço, a redução do gerenciamento da plata­ forma (principalmente do lado do servidor) é redu­ zida. A abstração do que está por trás do serviço que esta sendo consumido leva a uma redução ge­ ral de gerenciamento. As implementações tendem a ficarem mais ágeis, tendo em vista que os upgra­ des da plataforma BackEnd ficam por conta do fornecedor de serviços da nuvem. Aumento da Produtividade: os usuários vão ter mais exposição a trabalhar com as versões mais novas do software devido a agilidade de migração existente na plataforma. Se antes as empresas pre­ cisavam disponibilizar sua própria plataforma de acesso remoto para que o usuários pudessem cola­ borar de forma remota, agora o usuário só precisa ter acesso a web para acessar os softwares corpora­ tivos. Do ponto de vista do negócio os atrativos da com­ putação na nuvem são inumeros, porém também exis­ te o “medo”, principalmente pelo lado do profissional de TI que esta migração signifique o fim do emprego dele na empresa. Assim como toda e qualquer mudan­ ça, a migração para nuvem traz oportunidades e ris­ cos para os profissionais que diretamene seram afetados por isso. O tradicional profissional de TI/Se­ gurança que está acostumado a trabalhar de uma for­ ma mais reativa (apagando incêndio) vai realmente sentir que sua existência na empresa pode estar em risco. Isso devido ao fato de que na migração para nu­

vem publica, a operacionalização dos servidores que fornecem os serviços são realizadas pelo provedor da nuvem. Porém, tais profissionais precisaram se rea­ dequar a esta realidade e começar a usar desta mu­ dança uma oportunidade de agregar valor ao negócio. O profissional de TI/Segurança que antes era 90% reativo e 10% proativo, precisará agora inverter os papeis. Os profissionais de Segurança vão ter mais tempo para trabalhar mais nas políticas de segurança, treinamentos de segurança (security awareness trai­ ning), acessar os fatores de vulnerabilidade da em­ presa, fazer testes de penetração, fazer levantamento de risco, liderar o programa de segurança na compu­ tação na nuvem dentro da empresa. Veremos mais na frente que migração para nuvem não é uma transfe­ rência de risco de segurança para o fornecedor dos serviços da nuvem. Já os profissionais de TI vão ter mais tempo para planejar o uso de TI como uma for­ ma de alavancar negócios para a empresa, alinhar TI com os objetivos da empresa, fazer com que o depar­ tamento de TI não seja visto apenas como um local que “conserta o computador”, mas sim o departamen­ to que faz o negócio acontecer, traz valor ao negócio através da adoção de novas tecnologias e automação de processos. Torna­se essencial neste novo modelo que os profissionais de TI tenham conhecimento mí­ nimo de gerencialmento de projetos (recomendo no mínimo a certificação Project+ da CompTIA, o ideal é obter a certificação PMP) e serviços/operacionali­ zação de TI (recomendo a certificação ITIL V3 Foun­ dations).

E os Riscos?
Conforme mencionei anteriormente, mudança é composta de riscos e oportunidades. Ao passo que ci­ tei algumas oportunidades que giram em torno da mi­ gração para nuvem, os riscos também são grandes. Porém a boa notícia é que os riscos podem ser miti­ gados. A tabela abaixo enumera o risco e as possíveis perguntas que devem ser questionadas ao provedor de serviço de nuvem:

Risco

Perguntas Frequentes

Confiar no modelo de segurança ­ Quais as garantias que tenho para confiar no seu modelo de segurança? ­ Seu datacenter tem alguma certificação relevante do âmbito de segurança? do provedor de soluções Lidar com auditoria de dados ­ Posso ter acesso aos dados para fazer auditoria no sistema que eu uso? ­ O que é preciso para auditar o manuseamento dos meus dados?

|38

Março 2012 • segurancadigital.info

ARTIGO Segurança Digital

Obter suporte para fins de investigação de incidentes

­ Caso eu precise fazer uma investigação forense, como obtenho dados dos servidores que eu utilizo?

Desenvolvimento não seguro de ­ As aplicações que minha empresa vai consumir no seu serviço de nuvem aplicações foram desenvolvidas com algum modelo de segurança para nuvem? ­ Quais as garantias que tenho que o seu pessoal (operacional) não vai sabotar meus dados? ­ É feito algum tipo de “background check” nos profissionais que sua empresa contrata para operar os serviços da nuvem? ­ É possível que o meu concorrente tenha dados armazenados no mesmo servidor que eu uso, tendo em vista que estamos em uma plataforma virtualizada. Como é feito o isolamento dos dados em descanso (data resting) e em trânsito? ­ Que tipo de penalização/multa esta prevista caso exista vazamento dos meus dados pessoais localizados no datacenter da sua empresa? ­ Onde fica o datacenter que vai armazenar meus dados?

Ameaças internas

Tecnologia compartilhada

Vazamento de informações Localização Geográfica*

* Este questionamento é importante para fins de regulamentação. Em alguns países e para alguns tipos de transações, é mandatório que o dado fique localizado dentro das premisas físicas do país. Tais questionamentos fazem parte apenas do reco­ nhecimento das políticas de segurança do provedor de serviços da nuvem. O trabalho não acaba por aí, na reallidade está apenas começando. O documento 800­1444 do Instituto Nacional de Padrões e Tecnolo­ gias (NIST – National Institute of Standards and Tech­ nology) dos Estados Unidos define uma série de diretrizes para segurança e privacidade em uma nú­ vem pública. metida, ela poderá tornar­se a porta de entrada para o acesso malicioso a dados que estejam localizados na nuvem. Como o acesso das premissas do cliente para o provedor de nuvem é válido e autenticado, torna­se difícil mitigar um acesso que aparentemente é válido. Por este motivo, os recursos localizados no ítem 1 são de responsabilidade do cliente. A segurança des­ tes ativos é de responsabilidade do contratante. Quando o dado está em trânsito é necessário que o mesmo esteja criptografado. Com os recentes ataques a certificados SSL, tornou­se ainda mais necessário ter um dispositivo de perímetro (Firewall) que seja capaz de não apenas analisar o tráfego, mas que tam­ bém possa fazer validação SSL. Através da inspeção SSL realizada pelo firewall você estará adicionando uma camada a mais de proteção. O conceito de segu­ rança em profundidade aplicado na prática torna­se mais importante que nunca. Ao chegar à rede do provedor de serviços da nuvem, a responsabildiade passa a ser do provedor. Os questionamentos que relacionados a proteção des­ tes dados (como os exemplos que mencionei anteri­ ormente) precisam ser endereçados.

Preparando­se para Migração tendo Segu­ rança como Premissa
Um dos aspectos que geralmente não é endereçado com a devida atenção é a segurança de perímetro. Muitos gestores têm a idéia errada que a contratação de um serviço de núvem significa a transferência de responsabilidade da segurança dos dados para o pro­ vedor de serviços, porém isso não é verdade. Os da­ dos podem estar em locais diferentes durante a transação e dependendo de onde ele esteja à responsa­ bilidade é de partes diferentes. Vejamos no diagrama da Figura 1. Neste diagrama podemos notar que os recursos lo­ calizados na rede interna são críticos também. Até mesmo porque se uma estação de trabalho for compro­
4 Documento

completo em http://csrc.nist.gov/publications/nistpubs/800­144/SP800­144.pdf

|39

Março 2012 • segurancadigital.info

ARTIGO Segurança Digital

Figura 1 ­ Trajeto do dado.

Conclusão
Neste artigo você aprendeu um pouco sobre as questões relacionadas a segurança na nuvem publica e alguns fatores que devem ser considerados durante esta migração. As referências abaixo podem ser utilizadas para um aprofundamento maior no tema.
Yuri Diogenes
(CISSP, EC|CEH, E|CSA, CompTIA Cloud Essentials Certified, CompTIA Security+, Network+, Microsoft MCITP, MCTS, MCSA/MCSE+Secu­ rity, MCSE+Internet, MCSA/MC­ SE+Messaging, membro da ISSA North Texas e da American Society of Digital Forensics & eDiscovery). Mes­ trando em Cybersecurity Intelligence and Forensics Investigation pela UTI­ CA College nos Estados Unidos, é au­ tor de vários livros na área de segurança da informação e ex membro do grupo de engenharia de suporte a produtos da linha Microsoft Forefront Edge Security. Atualmente Yuri traba­ lha no grupo Windows IT PRO Secu­ rity da Microsoft. Yuri também escreve no seu blog em inglês. Em ingles: http://blogs.technet.com/yuridiogenes Em Português http://yuridiogenes.wordpress.com Twitter @yuridiogenes

Referências
Protecting your Weakest Point: On­Premise Resources (ISSA Journal/Maio 2011) www.yuridiogenes.com.br/issa/WeakestPoint_ISSA 0511.pdf TechED 2011­ Segurança de Perímetro durante Migração para Nuvem (SIA302) http://yuridiogenes.wordpress.com/2011/10/04/tech ed­2011­segurana­de­permetro­durante­migrao­para­ nuvem­sia302/ Capítulo 17 do Livro de Security+ (Editora NovaTerra) http://www.securityplusbr.org Guidelines on Security and Privacy in Public Cloud Computing http://csrc.nist.gov/publications/nistpubs/800­ 144/SP800­144.pdf

|40

Março 2012 • segurancadigital.info

Este tutorial mostra como proteger o servidor SSH e não a conexão...

SSH - Proteção Com DenyHosts

ais cedo ou mais tarde iremos necessitar de acesso remoto a algum servidor, seja para reali­ zar alguma configuração, manutenção, procedi­ mentos de rotinas ou qualquer outra tarefa. Alguns administradores de rede, sistemas, entre outros, ficam de cabelos em pé ao ouvir algo como “preciso de acesso re­ moto”.

M

Conheço casos de hospedagem web onde o forne­ cedor não libera acesso FTP para seus clientes e, ao invés disso, a parte contratante da hospedagem tem de enviar os arquivos para os responsáveis pelo servi­ dor e só então estes fazem o upload. Alguém se esque­ ceu de avisar a estes “indivíduos” que estamos em pleno século XXI. Este tutorial trata basicamente de como conseguir manter seu servidor com acesso SSH fora do alcance de indivíduos mal intencionados, mas lembre­se, na­ da na informática é 100%. Estou apenas mostrando como adicionar uma camada de segurança bem efici­ ente.

Dicionário do mal
Este subtítulo é um tanto irônico, mas acho bem apropriado para o tema aqui abordado. Este título re­ presenta para mim um conjunto de “palavras computa­ cionais” que podem ser utilizadas para conseguir acesso não autorizado a um sistema informático.

Servidores que necessitam de acesso remoto por meio de senha, como o SSH, acabam ficando vulne­ ráveis por estarem expostos à Internet. Estes, por sua vez, podem sofrer ataques de força bruta (dicioná­ rio), que visam “encontrar” a combinação de senha que permita ao meliante se logar com algum usuário valido no sistema alvo. Diferentes técnicas podem ser empregadas para minimizar os riscos de acesso não autorizado. Uma autenticação por chave pode ser uma das soluções para fortalecer o nível de segurança e endurecimento (hardening) do sistema, mas de fato esta abordagem não impede ataques de força bruta de serem realiza­ dos contra o servidor alvo, apenas torna inviável esta tática de “guerra”. Tenho plena certeza que muita gente pensa o se­ guinte: “vou fortalecer o sistema ao máximo e desta forma indivíduos mal intencionados não poderão me causar danos, pois não conseguirão acesso ao siste­ ma”. Este pensamento pode ser considerado antiqua­ do e até irresponsável pelo simples fato de que não é necessário conseguir acesso ao sistema para causar “prejuízos”. Se você, por exemplo, permitir que indi­ víduos realizem ataques de dicionário, existe a possi­ bilidade de estes conseguirem sobrecarregar o servidor ao inundar o sistema com requisições inváli­ das de acesso.
Março 2012 • segurancadigital.info

|41

DICA / TUTORIAL Segurança Digital

DenyHosts
O DenyHosts pode ser apresentado como uma das melhores formas de proteger seu servidor contra ata­ ques como força bruta. Em outras palavras DenyHosts é uma ferramenta/script que monitora os arquivos de log /var/log/secure e /var/log/auth.log, respectivamente para Red Hat/Fedora e Debian/Ubun­ tu. A partir deste monitoramento, esta ferramenta adi­ ciona entradas em /etc/hosts.deny, arquivo responsável por negar pedidos de requisições vindas dos hosts listados em seu interior, vale ressaltar ainda que as entradas são adicionadas a este arquivo seguin­ do parâmetros determinados pelo administrador, co­ mo, por exemplo, número de requisições negadas dentro de um intervalo de tempo. Ressalto ainda que DenyHosts pode ser instalado em qualquer distro GNU/Linux, neste tutorial levaremos em conta a ins­ talação em ambiente Fedora e Debian, lembrando ain­ da que com poucas ou nenhuma modificação este pode ser instalado em outras distribuições.

veremos outra forma de baixar e instalar o DenyHosts, mas lembre­se: se você utilizou um ge­ renciador de pacotes como aptitude ou yum não será preciso fazer a instalação do tar.gz.

Configurando
Após o processo de instalação nos resta apenas re­ alizar as configurações finais, configurações estas que tornarão o DenyHosts funcional. Caso você te­ nha instalado esta ferramenta por meio de gerencia­ dores de pacotes em distros baseadas no Debian, o arquivo de configuração se encontra em /etc/denyhosts.conf, já no caso de RedHat/Fedo­ ra/CentOS o arquivo em questão fica em /etc/hosts.deny. Tanto na instalação por meio de gerenciadores de pacotes como por meio do arquivo tar.gz as configu­ rações são basicamente as mesmas. Relembrando que se você fizer a instalação via tar.gz será preciso criar links simbólicos para diretórios do sistema e renome­ ar o arquivo de configuração, ou seja, você terá tra­ balho dobrado. Editando o arquivo de configuração, você deverá ficar atento às informações relacionadas aos endereços de arquivos de logs da distribuição na qual o DenyHosts foi instalado:

Mãos à obra
Chega de conversa e vamos fazer a instalação do DenyHosts. Basicamente, esta instalação pode ser fei­ ta de duas formas, por meio de gerenciadores de paco­ te como apt­get/aptitude em distribuições Debian e yum em distribuições como Fedora. Outra forma de fazer a instalação é baixando o pacote tar.gz no ende­ reço [1] Neste tutorial irei instalar o DenyHosts em um ambiente Debian 6 (squeeze) e Fedora 16, utili­ zando gerenciadores de pacote.

Instalando via aptitude yum
Aqui utilizarei o comando aptitude para fazer a ins­ talação do DenyHosts mas, caso você prefira utilizar o apt­get, fique à vontade. A primeira linha do quadro abaixo se refere ao comando que deve ser utilizado em distribuições Debian e derivadas, já a segunda li­ nha é utilizada em distribuições Fedora e derivadas: # aptitude install denyhosts # yum install denyhosts Utilizar gerenciadores de pacotes como aptitu­ de/yum apresenta diversas vantagens, como, por ex­ emplo, não ser necessário fazer um download manual do pacote, não ser preciso descompactar nem mover arquivos dentro do sistema, pois estes já são enviados para seus devidos diretórios e, por último, não ser pre­ ciso criar links dentro do sistema. No tópico seguinte

# Arquivo de LOG a ser verificado SECURE_LOG = /var/log/secure # Arquivo que contém hosts bloqueados HOSTS_DENY = /etc/hosts.deny # Limpar o arquivo /etc/hosts.deny a cada 3 dias PURGE_DENY = 3d # Especifica o serviço a negar acesso BLOCK_SERVICE = sshd # Quantos logins inválidos de usuário inexistentes indica uma tentativa de ataque DENY_THRESHOLD_INVALID = 3 # Quantos logins inválidos de usuário existente indica uma tentativa de ataque DENY_THRESHOLD_VALID = 5 # Quantas tentativas invalidas de login como root caracterizam uma tentativa de ataque DENY_THRESHOLD_ROOT = 1 # Denunciar logins inválidos vindos de máquinas válidas SUSPICIOUS_LOGIN_REPORT_ALLOWED_ HOSTS=YES ###Parâmetros opcionais para envio de e­mails de alerta
Março 2012 • segurancadigital.info

|42

DICA / TUTORIAL Segurança Digital

ADMIN_EMAIL = adm@endereco.com.br SMTP_HOST = mail.endereco.com.br SMTP_PORT = 25 SMTP_FROM = DenyHosts SMTP_SUBJECT = Relatorio DenyHosts ### Parâmetros para o modo daemon DAEMON_LOG = /var/log/denyhosts # Intervalo de tempo para verificação do arquivo de log. DAEMON_SLEEP = 30s # Intervalo para limpeza da lista de bloqueados. DAEMON_PURGE = 1d

guintes linhas no arquivo de configuração: # caso você utilize algum firewall, certifique­se que a porta 9911 pode ser utilizada pela ferramenta: SYNC_SERVER = http://xmlrpc. denyhosts.net: 9911 # permitir ou negar download da lista colaborativa: SYNC_DOWNLOAD = yes # permitir ou negar upload da lista de bloqueios realizado pelo seu server: SYNC_UPLOAD = yes Mas existe um problema em utilizar esta aborda­ gem. Um servidor com DenyHosts mal configurado pode bloquear um host que não apresenta perigo al­ gum, para evitar isso você pode descomentar a se­ guinte linha: SYNC_DOWNLOAD_THRESHOLD = 6 Esta, por sua vez, tem a função de fazer download somente daqueles hosts que tiverem sido bloqueados em pelo menos 6 servers diferentes, com certeza esta abordagem tornará a lista de hosts mais fidedignas. Outro recurso interessante que pode aumentar ain­ da mais a veracidade da sua lista é: SYNC_DOWNLOAD_RESILIENCY = 2d

Valores de tempo
Unidade de tempo s m h d w y Descrição Segundo Minuto Hora Dia Mês Ano

Caso você especifique algum valor e não indique a unidade de tempo, o valor a ser considerado será em segundos.

DenyHosts funcionando
Ao realizar a instalação por meio dos gerenciado­ res de pacote, o DenyHosts irá funcionar em modo Daemon , ou seja, rodará constantemente em segundo plano, não sendo necessário que você solicite sua exe­ cução. Toda vez que um host identificado como potencial atacante for detectado, uma entrada será adicionada ao arquivo especificado na variável HOSTS_DENY. Os valores adicionados seguem mais ou menos este padrão: sshd: 123.456.789 sshd: 234.567.890 sshd: 345.678.901

Este, por sua vez, tem como objetivo considerar apenas os hosts que estiverem bloqueados a pelo me­ nos dois dias. Lembrando que você pode editar este valor utilizando outras unidades de tempo ou até mesmo outros valores para esta mesma unidade. [1] ­ http://sourceforge.net/projects/denyhosts/files/ denyhosts/
Fábio Jânio Lima Ferreira ­ (Diretor e Diagramador)
Analista de suporte técnico, administra­ dor de redes, programador, ativista e de­ fensor do software livre. Sem sombra de dúvida o campo da segurança computaci­ onal me seduz como nem uma outra área. Apaixonado por tecnologia e fascinado pela cultura hacker. Email: fabiojanio@segurancadigital.info Blog: www.fabiojanio.com Twitter: @_SDinfo

Defesa colaborativa
Resumidamente, o DenyHosts possui uma lista glo­ bal contendo hosts potencialmente agressivos, sendo assim você não precisa esperar que um ataque seja re­ alizado contra sua máquina para poder adicionar estes hosts a lista de máquinas bloqueadas. Para ativar o re­ curso de lista colaborativa, basta descomentar as se­

|43

Março 2012 • segurancadigital.info

NOTÍCIAS
Violação de e­ mail sírio indica guerra digital A divulgação de dezenas de e­ mails reveladores do presidente Bashar el­Assad aponta para uma nova era de guerra de infor­ mações ­­ tenha sido ela ação dos próprios rebeldes sírios, resultado de ajuda de agências de espionagem do Ocidente ou de hackers ativistas. >> http://migre.me/8k8bk ker Anonymous afirmaram que a infiltração da Interpol na organi­ zação foi o que levou à prisão de 25 hacktivistas na Europa e América Latina. O grupo afir­ mou que quase todos os integrantes presos haviam participado em um mesmo site da rede usado pelo Anonymous. >> http://migre.me/8k8rc

13 empresas de TI são processadas por roubo de dados Um grupo de norte­americanos processou várias empresas de tec­ nologia por elas terem violados seus dados pessoais em smartphones. Eles alegam no pro­ cesso que os apps (das empresas Facebook, Beluga, Yelp, Burbn, Instagram, Foursquare Labs, Gowalla, Foodspotting, Path, Twitter, Apple, Hipster, Linke­ dIn, Rovio, ZeptoLab, Chillingo, Electronic Arts e Kik) acessam, sem autorização, os dados pessoais – como lista de contatos telefônicos e de e­mails – para compartilhar informações ou mesmo montar uma ba­ se de dados. >> http://migre.me/8k8gj

Em entrevista, fundador do Megaupload com­ para site ao Google O alemão Kim Dotcom, o fun­ dador do Megaupload, conce­ deu na quinta­feira (1°) sua primeira entrevista para TV ne­ ozelandesa depois de ser solto da prisão. Ao jornalista John Campbell, o empresá­ rio, que é acusado de facilitar a pirataria e causar um prejuízo de US$ 500 milhões, disse que o site estava protegido pela lei do Digital Millennium Copyright Act (DMCA), a mesma que protege sites como o YouTube e o Google. >> http://migre.me/8k8uj

Assange, do WikiLeaks, estuda virar político O fundador e líder do WikiLe­ aks, Julian Assange, planeja se candidatar a uma cadeira no Se­ nado da Austrália, anunciou o grupo anti­sigilo no Twitter nes­ te sábado. Os comentários não puderam ser imediata­ mente confirmados. O australiano Assange, 40, está atualmente em regime de prisão domiciliar no Reino Unido e luta contra a extradição para a Suécia para ser interrogado sobre acusações de crimes sexuais. >> http://migre.me/8k8lR

Linus Torvalds critica distros que pedem se­ nha de root para tarefas comuns Opinião pessoal não deve ser leva­ da em conta na hora de generalizar sobre determinado sistema, mas quando essa opinião vem de al­ guém com grande influência na origem do mesmo, não dá para dei­ xar o caso passar despercebido. Linus Torvalds desa­ bafou no seu Google+ sobre as políticas de segurança do OpenSUSE. >> http://migre.me/8k8xk

Contribua com nosso projeto?
Anonymous: Interpol se infiltrou no grupo pa­ ra prender membros Pessoas identificadas como membros do grupo hac­

Envie um email para nossa equipe! contato@segurancadigital.info
Março 2012 • segurancadigital.info

|44

www.ablesecurity.com.br

|45

ANÚNCIO AbleSecurity

Março 2012 • segurancadigital.info

ANÚNCIO Data Security

|46

Março 2012 • segurancadigital.info

Parceiros

Venha fazer parte dos nossos parceiros, que apoiam e con­ tribuem com o Projeto Segu­ rança Digital.

|47

Março 2012 • segurancadigital.info

PARCEIRO 4Linux

»

Pen test Teste de Invasão em Redes Corporativas
Alunos, que já concluíram o curso 415, serão ca­ pacitados a analisar e explorar vulnerabilidades exis­ tentes que podem ter sido deixadas mesmo após um processo de hardening. O profissional precisa conhe­ cer como um processo de hardening é realizado, para saber o que e onde testar se o processo foi realizado com sucesso. No relatório final, o profissional estará capacitado, com a visão de um possível invasor, à in­ dicar onde as brechas estão e quais os procedimentos que devem ser realizados para se executar uma sinto­ nia fina no hardening do sistema.

curso é totalmente prático e aborda métodos, téc­ nica e ferramentas utilizadas por Hackers, utili­ zando­as para a realização de Testes de invasão (Pen Tests). Todo conteúdo é transmitido de forma prática e dinâmica, apresentando desafios para serem resolvidos ao longo do curso. Dessa maneira, o aluno se deparará com cenários reais que simularão contextos específicos on­ de precisará realizar um Teste de invasão, onde no final do curso um relatório final deverá ser apresentado.

O

Esse é o segundo curso da formação em seguran­ ça, onde o aluno, após aprender a proteger seu servi­ dor (através do curso 415), aprenderá técnicas ainda mais avançadas para descobrir e explorar vulnerabili­ dades, avaliando seu grau de risco e ameaça, oferecen­ do no relatório final o resultado de seu trabalho e como mitigar as falhas e vulnerabilidades encontra­ das.

Quem deve fazer este curso e por quê
Consultores de Segurança, Analistas de segurança e Administradores de Redes que queiram entender o funcionamento das intrusões feitas pelos Crackers. Os profissionais de TI serão capacitados para realizar Testes de Segurança, permitindo que identifiquem vul­ nerabilidades e qualifiquem ameaças, conseguindo as­ sim quantificar os riscos e nível de exposição dos ativos da empresa, tendo o conhecimento para identi­ ficar comportamento hostis em suas redes no caso de necessidade de Resposta a Incidentes de Segurança. Além disso, também serão capacitados a validar seus mecanismos de segurança por meio de Pen­Test (Teste de invasão de Rede). Este curso é baseado em metodologias internacionais para avaliações e testes de segurança, onde cada item de uma rede ou servi­ dor é testado, levando em consideração os vários ti­ pos de ataques possíveis e ameaças existentes. Alunos, que já concluíram o curso 415, serão capa­ citados a analisar e explorar vulnerabilidades existen­ tes que podem ter sido deixadas mesmo após um processo de hardening. O profissional precisa conhe­ cer como um processo de hardening é realizado, para saber o que e onde testar se o processo foi realizado com sucesso. No relatório final, o profissional estará capacitado, com a visão de um possível invasor, à in­ dicar onde as brechas estão e quais os procedimentos que devem ser realizados para se executar uma sinto­ nia fina no hardening do sistema.

Para mais informações acesse: http://www.4linux.com.br/cursos/cursos­ seguranca.html#curso­406

|48

Março 2012 • segurancadigital.info

PARCEIRO Data Security

»

Aplicação de técnicas forenses na investigação e prevenção a fraude (parte 1)
nais que apresentam como objetivo a identificação de incidentes de segurança. Sabendo que a segurança da informação é uma das bases do processo investigati­ vo, torna­se necessário conhecer um pouco sobre este termo, principalmente no que tangem os processos investigativos, para isto será introduzido o conceito do controle em segurança. E neste caso há hoje uma norma que determina a necessidade de controles em segurança que são conhecidos como família ISO 270002. No Brasil, esta família de normas é materia­ lizada como NBR ISO/IEC 270013, NBR ISO/IEC 270024, NBR ISO/IEC 270045, NBR ISO/IEC 270056, NBR ISO/IEC 270117. Este artigo não visa explorar o significado de todas estas normas, nem sua relação com o processo investigativo, entretanto, consideramos importante que qualquer metodologia investigativa, tenha como base o processo de trata­ mento de resposta a incidentes8 atenda os controles definidos pela NBR ISO/IEC 27002. É possível perceber em um grupo de resposta de incidentes de uma empresa diversos profissionais de diversas áreas, não somente limitados a profissionais de tecnologia ou segurança da informação. Esta ob­ servação é identificada por este autor em sua experi­ ência em instituições financeiras, que também percebeu ao logo de sua carreira, similaridades da adoção deste modelo no restante do mercado. Esta composição de profissionais possibilita uma sinergia no atendimento de crises que podem levar a perda de confidencialidade, integridade e disponibilidade dos ativos9. O autor resume em poucas palavras que o termo confidencialidade visa manter o sigilo dos ati­ vos, enquanto que a integridade visa manter o estado completo dos ativos e a disponibilidade, visa manter

Introdução
A fraude, segundo o dicionário Aurélio, traz em uma de suas definições do termo a falsificação, adul­ teração tendo como uma de suas características a má fé. Neste contexto, o artigo tem como escopo o uso de técnicas investigativas a fraudes praticadas em meios eletrônicos, tais como dispositivos de computa­ ção pessoal, como estações de trabalho, dispositivos portáteis como telefones celulares e demais elemen­ tos que visam contribuir com a aplicação de metodo­ logias investigativas. Este artigo não tem a pretensão de indicar softwares ou soluções específicos, pois em se tratando de uma metodologia, considera­se que qualquer ferramenta que se destina a produzir o resul­ tado desejado atenderá as necessidades propostas pe­ las metodologias apresentadas neste documento.

Contextualização da Fraude
Considerado como ardil, a fraude visa ludibriar ví­ timas, com o objetivo de ganhos por parte do frauda­ dor. O contexto apresentado neste artigo traz como escopo a experiência do autor Prof. Msc. Marcelo Lau indicando a atuação prática, baseada na adoção de metodologias que foram construídas ao longo de estudos de caso1, apresentados ao longo de sua carrei­ ra até o momento, indicando cuidados importantes que devem ser tomados pelo perito no processo de re­ alização de perícia forense. O primeiro contato do autor ao contexto investiga­ tivo surgiu ainda em um período de atuação deste pro­ fissional em instituição financeira brasileira, por meio do trabalho realizado em um grupo de resposta a incidentes. Um grupo de resposta a incidentes se ca­ racteriza como um grupo especializado de profissio­
1 2

Consideram estudos de caso neste texto, as experiências práticas vividas pelo autor. Não se deve confundir a família ISO 27000 com a norma ISO 27000 que contêm uma visão geral e vocabulário da norma. Para isto, recomendamos uma visita ao site da ISO/IEC 27000:2009, indicado nas referências deste artigo. 3 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID=1492. 4 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID=1532. 5 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID= 58103. 6 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID= 1575. 7 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID= 56448. 8 O tratamento de resposta a incidentes é definido pela NBR ISO/IEC 27002 por meio do objetivo de controle Gestão de Incidentes de Segurança da Informação. 9 Entendem­se como ativo qualquer coisa que tenha valor para uma organização. Os ativos podem ser classificados como ativos tangíveis e ativos intangíveis. Exemplos de ativos podem ser: edificações, equipamentos, serviços, processos, pessoas e demais elementos que apresentam valor para uma organização.

|49

Março 2012 • segurancadigital.info

PARCEIRO Data Security

acessíveis os ativos a quem têm direito. Retornando a questão da fraude, há aspectos im­ portantes a serem considerados quando alinhados ao processo de resposta a incidentes, pois o tratamento pode ocorrer em função de eventos ou incidentes. Consideram­se eventos um ou uma série de ocorrênci­ as que geram a suspeita da perda de integridade, dis­ ponibilidade ou integridade de um ativo. Somente depois da confirmação de um incidente é que pode­ mos afirmar que este realmente é um incidente de se­ gurança. O processo investigativo de fraude pode abranger tanto análise de eventos, quanto de inciden­ tes, pois em diversos momentos, antes de um atacante ou fraudador obter sucesso à aplicação de fraude, este tenta insistentemente realizar tentativas que podem ser registradas em sistemas e serem investigadas de forma apropriada. Este processo não será detalhado com profundidade neste artigo, por não ser o objeto principal deste documento, pois o objetivo é informar ao leitor a metodologia investigativa adotada em inci­ dentes de segurança. Considerando que a experiência inicial do autor es­ tá relacionada à atuação de processos investigativos relacionados à prevenção a fraude na atuação em uma equipe de resposta a incidentes, devemos entender a metodologia apresentada neste artigo, reflete o resul­ tado de uma análise crítica da atuação em forense por meio de processo empírico analítico10 adotado pelo autor e o resultado das observações sobre os fatores de sucesso nestes processos investigativos. Com isto, traçamos um paralelo entre a metodologia e as obser­ vações realizadas em campo pelo autor que são mate­ rializados pelo parágrafo seguinte deste artigo. Os primeiros incidentes tratados pela equipe de resposta a incidentes presenciados pelo autor estavam relacionados à fraude financeira e eram relacionados
10

às tentativas de envio de arquivos anexados em cor­ reio eletrônico a vítimas. Neste momento eram ainda utilizados como temas das mensagens eletrônicas, nomes e conteúdos que se faziam passar por institui­ ções financeiras. Este tipo de ardil11 hoje é muito difundido no mundo inteiro, onde se consideram alguns elementos que corroboram a insistência sobre este método até os dias atuais. O primeiro elemento é o fato de se considerar que a fraude em meios eletrônicos pode ocorrer em princípio por meio de três elementos: o emissor, o meio e o receptor. O emissor é em nosso caso o provedor do serviço eletrônico, muitas vezes disponibilizados em canais como a Internet, entretan­ to não devemos esquecer que demais serviços eletrô­ nicos12 não disponíveis somente neste meio de comunicação13. O meio trata da infraestrutura de co­ municação entre o emissor e o receptor. Este meio pode ser a Internet ou qualquer outro meio que possi­ bilite a conectividade destes elementos. Por fim o re­ ceptor que é em nosso caso o cliente que deseja acessar os serviços eletrônicos disponíveis. Hoje o ponto mais suscetível à fraude é o receptor, e por meios dos parágrafos seguintes deste artigo, o autor traz a base científica para esta afirmação. Quando contextualizamos neste artigo o emissor no processo investigativo e de prevenção a fraudes, identificamos como ponto focal os serviços disponi­ bilizados por instituições financeiras. Se tomarmos como base a comparação da robustez dos mecanis­ mos de proteção e controles entre o emissor e recep­ tor, percebemos que o emissor apresenta mecanismos de proteção que são mais robustos comparados aos mecanismos e controles apresentados pelo receptor, isto se deve pelo fato do emissor adotar arquiteturas de segurança não adotados em geral pelo receptor.

O processo empírico analítico se baseia na condução de diversas ações, baseadas em uma hipótese. Uma vez que a ação resulte em validação da hipótese para formulação de uma metodologia, para que esta possa ser utilizada com restrições em algumas generaliza­ ções. Estas restrições estão relacionadas às similaridades dos eventos observados e sua aplicação prática no processo investigativo fo­ rense. 11 As técnicas em parte são similares às presenciadas nos primeiros incidentes, entretanto há algumas variações quanto à aplicação de fraude em meios eletrônicos, dentre eles a não obrigatoriedade do envio de anexos em mensagens eletrônicas, que foi substituído pelo envio de links que possibilitam o download de arquivos maliciosos, que uma vez instalados permitem a captura e envio de informação de dados coletados da vítima ao fraudador por meios de comunicação disponíveis. Outro ponto evolutivo das ameaças é a existência de temas de mensagens eletrônicas que não utilizam necessariamente temas de instituições financeiras, podendo se passar por outros te­ mas que visam ludibriar a vítima. 12 Estes serviços eletrônicos mencionados trazem em seu significado, o uso de qualquer mecanismo ou sistema eletrônico que permita realizar uma operação computacional. Neste caso, podemos incluir como exemplo os sistemas de pagamento por cartão de crédito, podendo também ser tão simples como as operações realizadas em telefones celulares como o envio de SMS (Short Message). 13 Estes demais meios de comunicação são caracterizados como comunicações em link de dados, que podem estar restritos as redes corporativas e demais outras denominações como intranets e extranets.

|50

Março 2012 • segurancadigital.info

PARCEIRO Data Security

Neste caso fazem parte dos itens desta arquitetura ele­ mentos de filtragem e monitoramento em segurança da informação, tais como Firewall14, IDS15/IPS16, An­ tivírus17, Hardening18 e demais elementos que pos­ sam contribuir com a segurança do emissor por meio da implementação destes mecanismos em camada19. Destes mecanismos de proteção mencionados, em ge­ ral o receptor conta com proteções apenas baseadas em Antivírus, não possuindo as mesmas camadas de proteção hoje existentes no emissor. O meio, que é algo ainda não foi mencionado com detalhes neste artigo, é considerado como um meio bem protegido, principalmente quando estamos consi­ derando comunicação cifrada, ou criptografada. A criptografia neste caso é a implementação de tecnolo­ gia que permite o embaralhamento de informações, sejam destinadas ao armazenamento ou transmissão de dados. Em no escopo deste artigo, o meio utiliza­ do em comunicações para transações financeiras, em geral é a Internet, quando tratamos de contextualizar a fraude em meios eletrônicos envolvendo clientes e instituições financeiras. Neste caso é padrão o uso de SSL20 (Security Socket Layer) como camada de emba­ ralhamento destes dados. O SSL na prática é a adoção de certificado digital no serviço que se deseja disponi­ bilizar. Neste caso o certificado digital é representado por um conjunto de bits21 gerados pelo sistema de cer­ tificação digital que provê a certeza da identidade do
14

serviço acessado, possibilitando pelo embaralhamen­ to a implementação da confidencialidade sobre o meio de comunicação. Com esta descrição comparativa existente nos pa­ rágrafos anteriores deste artigo se percebe que o elo mais fraco em termos de segurança da informação é o receptor, neste caso o usuário do serviço que deve adotar mecanismos de controle para sua proteção. Estes controles podem ser caracterizados pela exis­ tência de Antivírus atualizado constantemente e con­ figuração segura do sistema operacional e aplicativos, processo similar às técnicas de Harde­ ning. Baseado neste cenário, identificaremos algumas técnicas e metodologias investigativas para o proces­ so de confirmação da existência de fraude e proposi­ ção de metodologias investigativas, disponíveis nos próximos capítulos deste artigo.

Metodologia de Identificação da Fraude
Deve­se considerar que nem toda fraude identifi­ cada como bem sucedida sistemicamente (ou seja, identificado nos sistemas seja por denúncia ou filtros de detecção de fraude), indica imediatamente a víti­ ma da fraude. Neste aspecto, é necessário o investi­ mento de tempo e conhecimento investigativo para realizar o processo de confirmação na identificação do fraudador e a vítima, ou as vítimas de uma fraude. Há situações que se identifica a vítima como frau­

Firewall é uma implementação de filtro de pacotes que permite a inspeção de seu conteúdo de acordo com o protocolo de comunica­ ção, em geral baseado em TCP/IP (Transmission Control Protocol/ Internet Protocol). O Firewall pode ser implementado através de equipamentos especializados para o desempenho desta função ou configurados em software que podem ser utilizados sobre um sistema operacional de livre escolha do responsável pela implementação, isto é, se o software tiver suporte adequado para ser instalado na base operacional desejada. 15 Intrusion Detection System. É um sistema de detecção de intrusão que pode ser baseado na implementação host ou rede. Em geral estes sistemas são configurados apenas para alertar os responsáveis pela segurança da existência de eventos ou incidentes de seguran­ ça, não envolvendo uma resposta do sistema aos ataques por meio do envio de pacotes TCP/IP. 16 Intrusion Prevention System. É um sistema que além de detectar a intrusão, tem como objetivo o envio de pacotes TCP/IP possibili­ tando a ação de contramedidas contra ataques identificados no meio de comunicação originada pelo sistema. 17 Sistema de detecção de vírus, programas de computador que tem o objetivo de identificar demais ameaças conhecidas como malwa­ re (Malicious Software). 18 Hardening é um procedimento realizado para fortificar o sistema operacional e aplicativos por meio da configuração segura do mes­ mo. Este procedimento se baseia na configuração de permissionamentos restritos ao sistema, assim como a aplicação de correções de segurança e instalação apenas dos aplicativos e serviços necessários, evitando que o sistema seja exposto de forma desnecessária às ameaças tratadas em segurança da informação. 19 A arquitetura em camada consiste na aplicação de sucessivos mecanismos de proteção que visam proteger os ativos contra a perda de confidencialidade, integridade e disponibilidade. 20 Recomendo aos interessados em se aprofundar mais sobre o tema a leitura do livro SSL and TLS: theory and practice, referenciado na bibliografia deste artigo. 21 Bit é a menor unidade binária utilizada no processo de armazenamento e transmissão de informações em sistemas informatizados, sugiro como aprofundamento a leitura de um livro que aborda os princípios da Eletrônica no livro Introduction to Digital Electronics, referenciado na bibliografia deste artigo.

|51

Março 2012 • segurancadigital.info

PARCEIRO Data Security

dador, onde este simula a ocorrência de fraude, visan­ do ganho financeiro. Isto é conhecido como auto frau­ de. A auto fraude pode ser ilustrada em serviços como seguros, onde a suposta vítima, desejando ter o valor correspondente de seu veículo simulado, provi­ dencia o desaparecimento de seu próprio veículo, com o objetivo do recebimento do prêmio do seguro. Em meios eletrônicos, uma suposta vítima também pode vir a transferir valores financeiros ou mesmo re­ alizar resgates em sua conta corrente, alegando a exis­ tência de fraude. Neste contexto, é importante antes de qualquer adoção de metodologia investigativa, con­ siderar o processo de confirmação do incidente ou da fraude. Este processo de confirmação inclui a análise de al­ guns elementos externos ao equipamento do recep­ tor22, complementado pela análise de evidências disponíveis no equipamento da suposta vítima. Este processo formal23 visa confirmar a existência da ocor­ rência da fraude. Caso seja confirmada a ocorrência de uma fraude, considera­se importante a preservação de evidências que possibilite a identificação de provas disponíveis no meio eletrônico, em geral, um computador pesso­ al24, que possa responder alguns pontos importantes relacionados ao incidente. Estes pontos são derivados da metodologia 5W1H25 (What, Where, When, Why, How e Who), que traduzidos26 são respectivamente (O que, Onde, Quando, Porque, Como e Por Quem): O que aconteceu: Identificação de evidências e ações realizadas de programas maliciosos, ou vulnerabilidades exploradas sobre o sistema afetado que podem ter levado a ocorrência da fraude; Onde ocorreu a fraude: Confirmação do computador ou computadores que podem ser sido utilizados para a ocorrência
22 23

da fraude; Quando ocorreu: Visa delimitar a linha de tempo sobre o conjun­ to de evidências identificadas nos dois itens an­ teriores do 5W1H; Porque ocorreu a fraude: Em geral as fraudes que ocorrem neste meio vi­ sam como benefício o fraudador, entretanto, podemos considerar o benefício de outros en­ volvidos que podem ser descobertos no proces­ so investigativo; Como ocorreu a fraude: Visa organizar em linha de tempo as evidências identificadas nos itens anteriores do 5W1H; e Quem cometeu a fraude: Este item visa revelar a identidade de quem co­ laborou com a ocorrência da fraude. Vale ressaltar que esta é uma proposta metodoló­ gica recomendada pelo autor e que esta pode ser aplicável em alguns processos investigativos, entre­ tanto não se têm como pretensão a generalização desta metodologia sem a devida validação dos mes­ mos por meio do método científico. Esta metodologia ainda deve estar atrelada ao pro­ cesso formal em forense computacional, que visa atender alguns princípios27 em forense computacio­ nal28, tais como: Identificação da Evidência: Método utilizado para identificar a evidência a ser coletada e analisada; Preservação da Evidência: Método utilizado para assegurar a integridade por meio da realização de procedimentos de co­ leta, transporte e armazenamento seguro da evi­ dência identificada;

Dentre estes elementos externos estão a análise de registros gerados pelo emissor pelas transações financeiras. A formalização é necessária, pois todo documento gerado pelo processo investigativo deve ser realizado de acordo com a lei e so­ mente um processo documentado, pode subsidiar as partes em uma disputa legal, onde o perito será base de decisões do magistrado por meio do laudo pericial. 24 Considera­se um computador pessoal, pois a vítima de uma fraude, em geral utiliza um computador, seja este de uso particular ou pertencente à empresa que a vítima trabalha. 25 Metodologia também identificada no livro Advances in hybrid information technology, referenciado na bibliografia deste artigo. 26 Esta não é uma tradução literal somente, é a interpretação e contextualização dada pelo autor quanto ao significado desta metodolo­ gia. 27 Os significados fornecidos pelo princípio foram fornecidos pelo autor deste artigo. 28 Estes princípios são considerados pelo autor os mais adequados no processo metodológico com computação forense, sendo conside­ rados por muitos os processos clássicos, entretanto não podemos deixar de lado outros processos que possam ser adotados pelo perito, que de alguma forma ou outra devem seguir uma sequência estruturada e ordenada de ações.

|52

Março 2012 • segurancadigital.info

PARCEIRO Data Security

Análise da Evidência: Método adotado para interpretar e identificar provas contidas nas evidências preservadas; e Apresentação dos Resultados da Análise Forense: Método adotado para a geração de documentos que possibilitem a interpretação dos fatos iden­ tificados na etapa de análise de evidência, devi­ damente contextualizados à fraude. Estes princípios em forense computacional tam­ bém respeitam um padrão estabelecido em 2002, co­ nhecido como RFC 322729, intitulado Guidelines for Evidence Collection and Archiving, sendo um conjun­ to de boas práticas destinadas às práticas forenses, possibilitando ações de identificação, preservação, análise e apresentação dos resultados de uma análise forense, apesar do autor considerar que estas práticas mencionadas são incipientes comparadas com as téc­ nicas hoje conhecidas e praticadas pelos profissionais em investigações. Algumas das práticas adotadas no próximo item deste artigo visam aprofundar alguns dos princípios trazidos por este padrão. Em termos de padrão, vale mencionar que está em desenvolvimento uma norma intitulada como ISO 2703730, que deve complementar a RFC31. Este docu­ mento intitulado como Evidence Acquisition Procedu­ re for Digital Forensics32, deve compor as várias práticas hoje adotadas pelos profissionais que hoje atuam no âmbito investigativo de evidências digitais. A partir da adoção destes princípios e modelos me­ todológicos, considera­se importante entender a apli­ cação prática deste modelo no processo investigativo relacionado à identificação de fraudes. Esta materiali­ zação da metodologia ocorre por meio de atividades
29 30

sequenciais e dependentes a execução de tarefas que possibilitam a aplicação prática destes modelos no processo de investigação de fraudes, as quais podem ser lidas ao longo da continuação deste artigo.

Aplicação Investigativa da Metodologia de Identificação da Fraude
O perito ao se deparar com uma evidência deve ser capaz de tratar este conteúdo de forma adequada a fim de manter a integridade sobre a mesma, isto ga­ rantirá a obtenção dos dados definidos pelo modelo 5W1H, assim como assegura a certeza do perito so­ bre as conclusões de uma evidência analisada sem contaminações que possam ter sido adicionadas pelo perito ou processo adotado pelo perito, de acordo com os princípios forenses já explorados no item an­ terior deste artigo. Em nosso modelo, relacionado à fraude, em geral a evidência estará relacionada a dispositivos analisa­ dos da vítima33, entretanto considera­se importante avaliar nesta mesma metodologia investigativa a ne­ cessidade de se adotar procedimentos similares no processo de análise de evidências coletadas de frau­ dadores suspeitos, que pode não se limitar somente a equipamentos de uso pessoal como computadores, dispositivos de armazenamento, podendo se estender também com a análise de evidências disponíveis em sistemas de correio eletrônico, navegação entre ou­ tros disponíveis em outros ambientes e/ou provedo­ res que podem assegurar a rastreabilidade da ação do fraudador sobre uma vítima. O primeiro procedimento a ser adotado pelo perito ao se deparar com a vítima de uma fraude é identifi­ car por meio de depoimento34 o dispositivo ou equi­ pamento35 utilizado pela vítima relacionado ao

O conteúdo da RFC 3227 pode ser acesso na íntegra em: http://www.ietf.org/rfc/rfc3227.txt O autor desconhece uma fonte confiável que disponibilize uma versão preliminar desta norma. 31 RFC tem como acrônimo, as palavras Request for Comments. Hoje as RFCs são padrões aceitos pelo mercado de tecnologia. 32 Esta norma está sendo desenvolvida por um fórum Intitulado FIRST, dentro de um grupo denominado SIG (Special Interest Groups). Mais dados podem ser obtidos no site http://www.first.org/. 33 Outros elementos poderiam ser escolhidos na aplicação desta metodologia, entretanto, escolheu­se identificação de evidências de ví­ timas, pois este em geral é o ponto inicial gerador de uma investigação, sendo que as evidências, neste caso, se encontram na maioria das vezes disponíveis ao processo investigativo. 34 Não é somente por depoimento que esta identificação é realizada, pois a identificação de evidências por meio de registros gerados por sistemas permite também a identificação de evidências. Quando se menciona depoimento, isto não significa que o processo tam­ bém se baseará em algo somente descritivo. Há espaço neste depoimento o informe de detalhes da vítima informando detalhes que pos­ sam ser acessíveis aos sistemas informatizados apontados pela vítima e acessíveis no momento da prestação deste depoimento. 35 Apesar de estes termos estarem no singular, isto não significa que os itens são excludentes, ou apenas um dos equipamentos devem ser considerados no processo pericial. Deve­se considerar todo e qualquer equipamento ou dispositivo que tenha sido informado pela vítima. Na prática, a maioria dos usuários de meios informatizados, utilizam equipamentos em ambiente de trabalho e outro equipa­ mento para uso de atividades particulares, mesmo que em muitos momentos estes equipamentos sejam disponibilizados por estabeleci­ mentos públicos como cybercafés.

|53

Março 2012 • segurancadigital.info

PARCEIRO Data Security

serviço acessado, relacionado à ocorrência de fraude. Dentre os cenários36 que podem ser apresentados a ví­ tima pode identificar dispositivos como: Computadores pessoais de uso exclusivamente pessoal: Caracterizam­se por meio de computadores de uso doméstico residencial ou uso profissional em ambiente de trabalho que tem como carac­ terística o uso por apenas um usuário, neste ca­ so uso exclusivo da vítima; e Computadores pessoais de uso compartilhado: Caracterizam­se por meio de computadores de uso compartilhado. Em ambiente residencial este dispositivo pode ser compartilhado entre seus familiares, em ambiente corporativo, com­ partilhado entre outros colegas de trabalho. Ainda podem surgir demais outros equipamen­ tos compartilhados como aqueles disponibiliza­ dos em ambiente comunitários, sejam eles ambientes acadêmicos, hotéis, cybercafés e de­ mais estabelecimentos37 que destinam seus equipamentos para uso comum. Ainda pode se entender como computadores, dis­ positivos que tenham a capacidade de navegação à in­ ternet e realização de transações, se classificando
36

neste conjunto equipamentos como smartphones38 e demais dispositivos portáteis com a capacidade de conectividade, navegabilidade e processamento. Nem sempre a vítima saberá identificar os dispo­ sitivos utilizados e nem sempre os dispositivos iden­ tificados podem ser periciados, pois alguns deles podem não terem autorização de seu proprietário pa­ ra realização da coleta, algo que pode ocorrer quando identificado que uma das evidências se encontra dis­ ponível em ambiente de trabalho e não autorizados pelo proprietário do dispositivo39; ou mesmo impos­ sibilitados de se realizar a coleta em função do custo que pode ser proibitivo40, relacionado ao desloca­ mento41 do perito ao local que se encontra a evidên­ cia a ser coletada, ou mesmo a inexistência de meios42 para fazer a extração das evidências como pode ocorrer em sistemas que o perito não possui tec­ nologia43 para a remoção das evidências em processo de coleta. Na prática, diversas atividades investigativas rela­ cionadas à fraude e alguns outros ilícitos não reque­ rem que o perito realize esta tarefa, pois a evidência muitas vezes apresentada pelo perito já se encontra disponível para análise, não havendo a necessidade de sua participação nesta etapa do processo. Entre­ tanto, é importante que o perito conheça a metodolo­ gia, pois este pode avaliar se outro profissional que

Estes cenários segundo experiência do autor permitiu identificar esta dicotomia, apresentada. Nada impede que variações possam ser propostas a esta classificação apresentada. Esta divisão no ponto de vista do autor facilita a adoção de medidas investigativas, pois pre­ missas distintas são adotadas na investigação dos dois tipos de cenários apresentados. 37 Devemos considerar locais como escolas, universidades, tele centros (centros informatizados disponibilizados pelo governo aos ci­ dadãos) e computadores que mesmo destinados ao ambiente de trabalho ou mesmo destinados ao uso residencial particular contém com uma única credencial de acesso, ou diversas credenciais de acesso, mas com direitos administrativos sobre o sistema operacional. Neste caso, mesmo que o acesso seja realizado por diversos usuários distintos, um programa de computador com finalidade maliciosa, como por exemplo, a captura de dados de uma vítima, pode se tornar ativo para todos os usuários do computador, mesmo que somente um dos usuários tenha sido responsável por sua instalação acidental. 38 Entende­se como um dispositivo que apresenta as funcionalidades de um telefone celular com a integração de demais aplicativos ao sistema operacional que podem estar relacionados à comunicação de dados, aplicativos de produtividade ao usuário, entretenimento, entre outros. 39 Esta negação em relação à autorização pode ocorrer quando o equipamento a ser periciado tiver como justificativa, o uso essencial que pode colocar em prejuízo negócios ou prejuízo a pessoas, incluindo clientes, fornecedores ou funcionários. 40 Consideram­se como custo proibitivo, situações que a coleta de evidência requer, por exemplo, a aquisição de sistemas especializa­ dos para a replicação do mesmo ambiente que está sendo coletado. Oferece­se como exemplo, sistemas especializados de armazena­ mentos de mídias como fitotecas e demais equipamentos que não fazem parte da tecnologia utilizada comumente pelos profissionais de todas as áreas como Mainframe (sistemas de grande porte especializado no processamento de informações que possuem arquitetura operacional, além de hardware e software específicos para este processamento). 41 No caso de custos relacionados ao deslocamento, estas limitações estão mais relacionadas a perícias que demandam existência de transporte regular ou adequado à localidade que requer a realização de perícia. 42 Inexistência de meios pode ocorrer como a falta de infraestrutura adequada de energia elétrica, assim como dispositivos necessários para fazer coleta que não fazem parte do conjunto de ferramentas disponibilizado pelo perito. 43 O perito pode não possuir tecnologia, como foi o caso mencionado de sistemas de armazenamento de fitas na nota de rodapé 40. En­ tretanto, o perito pode ser desprovido ainda de conhecimento teórico e prático de como se realizar a perícia em sistemas que ele não te­ nha familiaridade.

|54

Março 2012 • segurancadigital.info

PARCEIRO Data Security

esteve presente na cena do crime seguiu todas as reco­ mendações adotadas na metodologia, pois identificar falhas nos processos de coleta pode significar a im­ pugnação de uma evidência, podendo em alguns ca­ sos, ser considerada nula qualquer conclusão obtida no processo de análise forense. Considera­se que uma vez que seja viável a coleta de evidências, que esta se realize aos dispositivos re­ conhecidos pela vítima e demais membros presentes no processo investigativo na cena do crime e acessí­ veis ao processo de coleta, de tal forma que isto se ba­ seie em dois pontos44 principais: Coleta de evidências voláteis: Visa coletar características da evidência, quan­ do este se encontra operacional. Dentre estas características se incluem a coleta de dados da memória RAM45, coleta de processos46, áreas temporárias47 e comunicações estabelecidas en­ tre a máquina da vítima e o ambiente de rede48: e; Coleta de evidências não voláteis: Visa coletar os dispositivos de armazenamento da evidência, onde se incluí disco rígido e mí­ dias disponibilizadas49 pela vítima. As evidências em processo de análise de fraude, muitas vezes não se encontram disponíveis na forma de evidências voláteis, já que diversos equipamentos e dispositivos coletados, podem se encontrar desliga­ dos50 ou com acesso restrito51 a usuários que conhe­

çam as credenciais de acesso.

Continua na próxima edição...

Estes pontos são considerados essenciais, pois diversas evidências somente são obtidas por evidências voláteis, apesar de se perceber na prática que o perito, em geral, irá obter somente para análise uma evidência coletada por outro profissional não tendo mais a possi­ bilidade do resgate da evidência volátil. 45 Random Access Memory. Forma de armazenamento volátil de dados composto por circuitos integrados. 46 Processos são considerados programas em execução sobre o sistema operacional. Por meio da coleta de processos, é possível identi­ ficar características como local de execução do programa de computador e demais informações que sejam úteis na identificação de programas de computador destinados a obter dados e informações de computadores de vítimas. 47 Consideram­se como áreas temporárias aquelas que fazem o armazenamento em arquivo ou partição de conteúdos voláteis acessados pela memória do computador. Neste caso faz parte desta descrição, áreas de paginação, conhecidos também como áreas de swap. 48 A tabela de comunicação permite identificar entre outras coisas os processos em execução, atrelados a portas de comunicação abertas e respectivos endereços IP externos ao computador utilizados para a troca de dados. Diversos programas destinados ao furto de infor­ mações estabelecem canais de comunicação permitindo que dados da vítima sejam enviados por meio deste método. 49 Estas mídias podem ser óticas, magnéticas ou disponibilizadas em outros meios como papel. 50 É fato que a maior parte das evidências analisadas por peritos são coletadas por outros profissionais, se encontrando disponível ape­ nas o equipamento ou somente a mídia para os processos de preservação e análise da evidência. 51 O acesso restrito pode ser dado ao se descobrir uma evidência como um computador ainda ligado com usuário autenticado no siste­ ma operacional, mas com a tela bloqueada ao acesso. Apesar de esta ser uma dificuldade, é possível se utilizar de técnicas que fazem a captura direta da memória RAM por resfriamento. Exemplo desta técnica pode ser consultado por meio de um trabalho acadêmico inti­ tulado “Cold Boot Attacks on Encryption Keys”, disponibilizado pela Universidade de Princeton por meio do link: http://citp.princeton.edu/memory/.

44

|55

Março 2012 • segurancadigital.info

PARCEIRO HostDime

»

Desafios da Gestão de Segurança em Servidores Compartilhados (Parte II)
sistemas a testarem os mesmos exaustivamente a fim de verificar se todos os quesitos de segurança são de­ vidamente correspondidos e que nenhuma etapa du­ rante o desenvolvimento seja deixada para o lado. Lembrem­se, é melhor um serviço demorar um pou­ co mais a ser ativado e quando entrar em produção ser um sistema seguro, do que um sistema ir "ao ar" rapidamente e possuir uma série de falhas de segu­ rança que podem comprometer não só as informa­ ções de seus clientes, como também pode denegrir a imagem de sua empresa diante do seu público alvo.

N

a primeira parte deste artigo nós falamos um pou­ co sobre ataques que ocorrem diariamentena web­ sites que utilizam CMSs convencionais, tais como Xoops, WordPress, Joomla, WHMCS e tantos ou­ tros. Isto ocorre geralmente pelo fato do sistema estar em uma versão desatualizada e, portanto, vulnerável ­ sim, quanto maior o número de usuários de um sistema, maior a possibilidade de se descobrirem novos bugs e por isto, as constantes atualizações periódicas ­ ou por estes siste­ mas estarem utilizando plugins comprometidos, obtidos em fontes não seguras ou simplesmente vulneráveis, como foi o caso de aplicativos que usam o script TimThumb de­ satualizado mostrado anteriormente.

Nesta parte, vamos falar do lado não tão glamuro­ so da força: os CMS pessoais. Mas o que são estes sis­ temas? Nós geralmente chamamos de CMS pessoais, todo e qualquer sistema que não possui uma comuni­ dade tão abrangente quanto a de CMS convencionais, são os famosos sistemas "por demanda", tão comu­ mente utilizados por algumas empresas que planejam disponibilizar seus serviços na grande rede sem recor­ rer a um sistema de terceiros. Legal, tá tudo muito bom, tá tudo muito bonito, mas onde estão os proble­ mas? O grande problema neste tipo de sistema é justa­ mente a falta de uma comunidade abrangente. Quer um motivo? A demanda destes sistemas geralmente é focada na rapidez da entrega, quanto mais rápido um serviço for ao ar, melhor, mas e a segurança, onde fi­ ca? Quando um sistema tem seu desenvolvimento fo­ cado apenas na rapidez da entrega ao cliente, geralmente são esquecidas algumas etapas importan­ tes no quesito segurança. O sistema "beta" não é testa­ do em condições abusivas e na maioria dos casos, sobem com bugs que são facilmente explorados por exploits convencionais e consequentemente, causan­ do transtorno a empresa que optou por utilizar um sis­ tema ainda prematuro. Diariamente nós encontramos uma grande quanti­ dade de graves falhas de segurança, algumas delas, in­ clusive básicas, tais como scripts de gerenciamento de sistema/upload de arquivos sem autenticação, utili­ zação de funções antigas e com falhas de segurança conhecidas na programação dos scripts, senhas fá­ ceis, senhas sendo armazenadas de forma insegura em bancos de dados (quando estes são usados) ou em arquivos de texto plano acessíveis para a web. Recomendamos a todos que utilizam este ramo de

Escrito por Renê Barbosa Analista de Segurança na HostDime Brasil.
Março 2012 • segurancadigital.info

|56

PARCEIRO Kryptus

»

A Kryptus lança no mercado o equipamento CompactHSM
Permite o uso em notebooks; Permite distribuição de carga e replicação; APIs padrão de mercado PKCS11, CSP, JCA; Proteção física avançada; Permite uso em servidores virtualizados; Compatível FIPS PUB 140­2, ICP­Brasil e PCI; Desenvolvimento 100% nacional e arquitetura 100% auditável; Permite customização sob demanda; Gerador de números aleatórios (TRNG) e Relógio de Tempo Real (RTC) em hardware; Custo altamente competitivo (consultas: conta­ to@kryptus.com).

CompactHSM é um Módulo de Segurança em Hardware (do inglês, “Hardware Security Modu­ le”) de alto desempenho com interface USB, que oferece uma solução de baixo custo para aplicações de cer­ tificação digital e criptografia em geral usualmente basea­ das em tokens ou smartcards, ressaltando a total compatibilidade em ambientes virtualizados.

O

Os processos de certificação digital, tais como a gestão eletrônica de documentos e a emissão de notas fiscais eletrônicas, criaram uma demanda por disposi­ tivos criptográficos de alto desempenho, alta seguran­ ça e baixo custo. Contudo, os dispositivos criptográficos disponíveis no mercado foram projeta­ dos para suprir necessidades específicas de outros ti­ pos de soluções, por exemplo, tokens e smartcards resolvem problemas de identificação, enquanto HSMs comuns resolvem problemas de PKI e placas aceleradoras criptográficas resolvem problemas de co­ nexões SSL. O CompactHSM foi criado para suprir a necessida­ de específica de soluções de certificação digital que necessitam de alto desempenho e segurança, mas que não necessitam de funcionalidades avançadas de ge­ rência de chaves.

Sobre a Kryptus (http://www.kryptus.com/)

Principais Características
O CompactHSM também é extremamente escalá­ vel, permitindo a integração de mais de um equipa­ mento à solução, e garantindo a continuidade do negócio através de mecanismos de backup por espe­ lhamento e hot swap. O CompactHSM pode ser usa­ do, em integração a sistemas, para: Proporcionar alto desempenho para assinatura e ci­ fração em quaisquer aplicações que utilizem APIs PKCS#11, CSP ou JCA; Gerar e armazenar chaves de certificados ICP­Bra­ sil A1 ou A3;Proporcionar fácil esquema de bac­ kup/recuperação e balanceamento de carga; Cifração de comunicações / links seguros.

Principais Benefícios
Alto desempenho (até 200 assinaturas RSA por se­ gundo); Conectividade USB v2.0; Armazenamento seguro de chaves criptográficas; Permite instalação interna em servidores ou com­ putadores desktop;

Empresa 100% brasileira, fundada em 2003 na ci­ dade de Campinas/SP, a Kryptus já desenvolveu uma gama de soluções de hardware, firmware e software para clientes Estatais e Privados variados, incluindo desde semicondutores até aplicações criptográficas de alto desempenho, se estabelecendo como a líder brasileira em pesquisa, desenvolvimento e fabricação de hardware seguro para aplicações críticas. Os clientes Kryptus procuram soluções para pro­ blemas onde um alto nível de segurança e o domínio tecnológico são fatores fundamentais. No âmbito go­ vernamental, soluções Kryptus protegem sistemas, dados e comunicações tão críticas como a Infraestru­ tura de Chaves Públicas Brasileira (ICP­Brasil), a Urna Eletrônica Brasileira e Comunicações Governa­ mentais.

|57

Março 2012 • segurancadigital.info

COLUNA DO LEITOR

EMAILS, SUGESTÕES E COMENTÁRIOS
Esta seção foi criada para que possamos compartilhar com você leitor, o que andam falando da gente por aí... Contribua para com este projeto: (contato@segurancadigital.info).
Vítor (no Site) Parabéns pela revista, eu que estou terminando a gra­ duação e pretendo seguir na área de segurança da in­ formação, estou gostando demais, pois os artigos são sempre muito bons e bem feitos! José Silva (no Site) Estava estes dias a conversar com o Fábio (adm), e falei que séria ótimo a inserção de tutoriais em edi­ ções futuras e ainda neste email sugerir um tutorial sobre SSH e quando foi ontem recebi um email do Fábio falando que já na 5ª edição séria publicado um artigo conforme meu pedido. Muito obrigado! Data Security (no Twitter) @_SegDigital ­ Parabéns! Que venham os 32, 64, 128 mil downloads da Revista Segurança Digital! Findeis, A. (no Twitter) @_SegDigital: muito bacana a revista. Equipe do Se­ gurança Digital está de parabéns! Ótimas reporta­ gens! Yuri Diogenes (no Twitter) Começando a escrever o artigo sobre #Segurança em Cloud Computing p/ a 5a. Edição da Revista @_SegDigital, obrigado @_SDinfo pelo convite ! Diego Ferreira Job (no Twitter) Agora seguindo a Revista @_SegDigital ­ Recomen­ to galera!!! Marcos T. Silva (por E­ mail) Boa noite! Procurando por sites de segurança encontrei o segu­ rança digital, então resolvi ler a primeira edição da revista. Acabei lendo as 4 edições. Quero parabeni­ zá­los pelo projeto e que continuem publicando vos­ sas experiências e assim nós leitores teremos bons conteúdos sobre segurança. Em particular a parte forense foi ótima e muito explicativa. Henrique Motta (por E­ mail) Primeiramente gostaria de parabenizá­los pelas edi­ ções anteriores e em especial a 3ª edição da revista "Segurança Digital". Como um profundo conhece­ dor na área da computação e interessado pela área da segurança estou procurando me aperfeiçoar na "arte" da segurança da informação realizando cursos e lendo materiais de fontes confiáveis (como vo­ cês). Paulo (por E­ mail) Equipe Segurança Digital, parabéns pelo trabalho de vocês. Sou um apaixonado por tecnologia, em especial pela área de segurança. Passei a conhecer esta revista por um amigo que me indicou e reco­ mendou muito bem sua leitura, sucesso para vocês e mais uma vez parabéns pela iniciativa.

|58

Março 2012 • segurancadigital.info

Segurança Digital
5ª Edição ­ Março de 2012

www.segurancadigital.info
@_SegDigital segurancadigital

VOCÊ PODE:

Copiar, distribuir, criar obras derivadas e exibir a obra.

Licença

COM AS SEGUINTES CONDIÇÕES:

Dar crédito ao autor original e a Revista Segurança Digital, citando o nome do autor (quando disponível) e endereço do projeto.

Você não pode utilizar esta obra como fonte comercial. Este direito é de total exclusividade do titular responsável por manter o site Segurança Digital.

Compartilhamento pela mesma Licença. Se você alterar, transformar, ou criar outra obra com base nesta, você somente poderá distribuir a obra resultante sob uma licença idêntica a esta.

O Projeto Segurança Digital apóia o compartilhamento gratuito de informações e conhecimento, mas ao mesmo tempo defende o fato de que, ao distribuir a obra de outra pessoa ou entidade você deverá citar a fonte original desta, dando assim crédito ao seu autor. Esta revista não poderá ser comercializada sem au­ torização prévia do responsável Fábio Jânio Lima Ferreira. O Projeto Segurança Digital garante a gratuidade desta edição. A mesma poderá ter uma versão impres­ sa paga, porém a versão digital não poderá, em hipótese alguma, ser comercializada. Só será permitida uma versão impressa para cunho comercial sobre autorização prévia do titular da comunidade. A comercializa­ ção da versão impressa desta revista sem autorização prévia constitui crime previsto nas leis nº 6.895 e 10.695. Parágrafo que respalda esta revista: § 1º Lei nº 6.895 ­ Se a violação consistir em reprodução, por qualquer meio, com intuito de lucro, de obra intelectual, no todo ou em parte, sem a autorização expressa do autor ou de quem o represente, ou consistir na reprodução de fonograma ou videograma, sem autorização do produtor ou de quem o represen­ te. Cada autor é responsável por seu artigo, desta forma o Projeto Segurança Digital não se responsabiliza por quebra de direitos autorais, por qualquer colaborador.

|02

Maio 2012 • segurancadigital.info

As guerras sempre fizeram parte da história da humanidade. Teria sido a primeira o homicídio de Caim, que matou seu próprio irmão Abel por ciúmes? Os séculos passaram e o homem continuou (e continua) a guerrear pelas mais variadas razões (religiosas, étnicas, ideológicas, econômicas, territoriais, de vingança, ou de posse). A necessidade de defender­se dos inimigos, fez com que as técnicas de defesa fossem criadas e aprimoradas. Uma das mais antigas e utilizadas é a construção de um muro que serviria como barreira física para afastar invasores, demarcar territórios e evitar as derrotas. Vários muros caíram, uns virarão atração turística e outros permanecem de pé. Nos fim dos anos 80, foi criado o conceito de firewall (muro de fogo) devido a necessidade de criar restrições de acesso entre redes. Naquela época, o perigo era externo, o medo principal era que um vírus derrubasse toda a rede, como aliás aconteceu por diversas vezes. O perímetro era a referência de defesa. A internet cresceu e hoje o cenário é bem diferente. Hoje, as ameaças virtuais estão em qualquer lugar, o antigo perímetro já não existe mais. Foi necessária uma evolução nos firewalls e você também precisa acompanhar essa mudança. Seus usuários querem usar o Skype, Google Docs, Facebook e muitos outros serviços que agregam valor ao trabalho deles. A estratégia de negar tudo já não funciona mais. Neste mês como matéria de capa abordamos os Firewalls de Nova Geração. Eles mudam o abordagem do “tudo ou nada”. Hoje o lema é liberdade com controle. Será que finalmente os profissionais de Segurança da Informação passarão a ser vistos com outros olhos e não mais serão chamados de “Doutor Não”. A Revista Segurança Digital te convida a conhecer essa nova tecnologia cuja adoção cresce a cada dia. E esse mês temos algumas novidades. Não ainda perca o super desconto que a editora Brasport está oferecendo aos leitores.Há ainda sorteios de livros e convite para o OWASP Floripa Day. Envie seu comentário, sugestão, reclamação, e até mesmo o seu artigo, caso tenha interesse em colaborar conosco.

DIRETOR E DIAGRAMADOR Fábio Jânio Lima Ferreira fabiojanio@segurancadigital.info EDITORES­CHEFE Johnantan Pereira johnantan.pereira@gmail.com Luiz Felipe Ferreira lfferreira@gmail.com EDITOR DE ARTE Hélio José Santiago Ferreira COLUNISTAS Augusto Pannebecker Fernandes augustopan@gmail.com Bruno Salgado, Henrique Soares, Jarcy Azevedo e Rafael Ferreira contato@seginfo.com.br Jaime Porto Pinto Júnior jaimeportop@gmail.com Laerte Costa Leonardo Pereira Guimaraes leonardo.pereira.guimaraes@gmail.com Lígia Barroso ligiabarroso@hotmail.com Nágila Magalhães nagilamagalhaes@gmail.com Paulo Moraes prg.moraes@gmail.com Roberto Henrique roberto@abctec.com.br Ronielton Rezende Oliveira ronielton@ronielton.eti.br Thiago Fernandes Gaspar Caixeta thiago.caixeta@gmail.com

Editorial

Proteção! Prevenção! Detecção! Detenção! Boa Leitura!

REVISÃO Andressa Findeis findeis.andressa@gmail.com Mauro Júnior maurompjunior@gmail.com Raiana Pereira raianagomes@yahoo.com.br http://twitter.com/_SegDigital www.facebook.com/segurancadigital

Por Luiz Felipe Ferreira

www.youtube.com/segurancadigital www.segurancadigital.info

|03

Maio 2012 • segurancadigital.info

Índice
Artigo
Análise de Risco Apple e Flashback ­ Fatores e constatações para todos os SO's Liberação De Registro De Nomes De Domínio Top Level ­ Retrocesso Ou Evolução? A tendência de cloud computing nas organizações Firewall de Nova Geração ­ Proteção! Prevenção! Detecção! Detenção! OWASP Floripa OWASP Sorteio Hacktivismo ­ Anonymous vilões ou mocinhos? Criptografia simétrica e assimétrica (parte 2 final) Lan House Corporativa IDS/IPS onde utilizar? Mapeamento de redes com nmap PSI – Politica de Segurança da Informação Perícia digital em ambientes de cloud computing

Dica / Tutorial 05 08 11 13 15
Brasport Auditoria ­ Como Windows Server pode te ajudar

45

Parceiros Able Security
4Linux 52

53 54 55 56

17 18 19 21 25 28 30 36 41

HostDime Kryptus

12 ­ Agenda TI
Confira o calendário dos profissionais de TI

56 ­ Coluna do leitor
Emails, sugestões e comentários. Envie o seu e, contribua para com o nosso projeto

50 ­ Notícias
Fique informado quanto ao que acontece no mundo virtual.

|04

Maio 2012 • segurancadigital.info

Análise de Risco

O

s riscos estão em toda a parte e geram os mais diversos impactos e danos aos ativos da empresa, porém, a grande questão, é a forma como as em­ presas identificam, avaliam, controlam e mitigam os ris­ cos. Não existe qualquer dúvida que aqueles que gerem melhor os seus riscos, são beneficiados de uma grande vantagem competitiva perante o mercado, podendo inclu­ sivamente usufruir de melhores relações com os investi­ dores e acionistas, além de atender às rigorosas legislações e requisitos do mercado internacional. Essas empresas estão melhor posicionadas e preparadas para as­ sumir riscos de forma calculada, baseados no conheci­ mento que têm das ameaças e oportunidades. A partir da gestão de risco as empresas desfrutam de relações facilita­ das com os subscritores dos seus riscos, controlando os riscos e reduzindo os custos podem ver os seus prêmios de seguro e custos de recuperação de incidentes reduzidos.

Antes de definirmos o que é a análise de risco e seu objetivo é importante conhecer um pouco sobre a norma ISO 27002. A norma 27002 foi desenvolvida pela ISO (Internal Organization Standardization), a maior organização para desenvolvimento e publica­ ção de normas do mundo. A ISO é responsável por realizar o alinhamento e padronização das normas e boas práticas dos órgãos de normatização de diversos países, fazem parte da ISO mais de 160 países, in­ cluindo o Brasil que é representado pela Associação

Brasileira de Normas Técnicas – ABNT. A NBR ISO/IEC 27002:2005 foi desenvolvida a partir da norma BS 7799­1:1999 e consiste em códi­ gos de prática para a gestão de segurança da infor­ mação, tendo como objetivo “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização”. A norma fornece um conjunto completo de controles de segurança divididos em 11 capítulos, nos quais estão descritos 39 objetivos de controle e 133 controles de gestão de SI. De acordo com a ISO 27002:2005 o gerenciamen­ to de risco é o processo que trata de ameaças, riscos e medidas de segurança. O gerenciamento de riscos conta com várias ferramentas de suporte e sua prin­ cipal é a análise de risco, de forma a levantar e vali­ dar todos os riscos e quais os impactos na SI da empresa. O propósito da análise de risco é identificar quais ameaças são relevantes aos processos do negó­ cio e quais os riscos associados a essas ameaças, de forma a garantir um nível de segurança apropriado, com controles de risco adequados e com uma boa re­ lação custo­benefício.

Objetivos da análise de risco:
­ Identificar ativos e seus valores; ­ Determinar vulnerabilidades e ameaças;
Maio 2012 • segurancadigital.info

|05

ARTIGO Segurança Digital

­ Determinar o equilíbrio entre custos de um in­ cidente e custos das medidas de segurança; ­ Determinar os riscos e as ameaças que podem realmente causar dano aos processos operacionais. Existem dois métodos de análise de risco: análise quantitativa e qualitativa. A Análise de risco quantitativa é baseada no im­ pacto do risco com relação à perda financeira e a pro­ babilidade de que uma determinada ameaça se torne um incidente. São levantados e categorizados os va­ lores de todos os elementos que fazem parte do pro­ cesso operacional, esses valores podem ser com relação ao valor do ativo ou despesa que o incidente possa acarretar. A Análise de risco qualitativa é baseada em cená­ rios e probabilidades de ocorrência de que incidentes ocorram. É feito uma análise com relação à maturida­ de do processo e sentimentos dos envolvidos e, a par­ tir das informações, é realizada uma análise com o intuito de levantar as ameaças e medidas de seguran­ ça para mitigar o risco. O ideal é realizar na empresa uma análise mista de forma a garantir que, em caso de incidente, seja pos­ sível identificar o prejuízo financeiro e as medidas de repressão e redução do dano.

cesso. Ameaça: A partir do levantamento da vulnera­ bilidade o passo seguinte é a análise das ameaças intrínsecas à vulnerabilidade, a melhor forma de proteção é conhecer as ameaças existentes e seu potencial. Probabilidade: Saber a probabilidade de uma ameaça explorar uma vulnerabilidade é fundamen­ tal para identificar riscos. Esta característica é ob­ tida de forma qualitativa através do conhecimento do ambiente e ocorrências de falhas anteriores. Risco: O risco é a análise qualitativa do valor x probabilidade da falha se concretizar. Por ser uma análise qualitativa depende muito do valor do ativo para o processo, um exemplo é um ativo de valor baixo com uma probabilidade alta de falha poderia ser considerado com risco baixo ou médio. Para a classificação dos temas acima, geralmente é utilizada uma combinação de cores relativa ao nível analisado. Neste exemplo usaremos a seguinte pa­ dronização: Impacto de nível Alto (VERMELHO): Resulta na perda catastrófica de recursos tangíveis ou principais. Pode significativamente violar ou im­ pedir a continuidade do negócio. Impacto de nível Médio (AMARELO): Resulta na perda significativa de recursos tangí­ veis, podendo prejudicar a operação de negócio. Impacto de nível Baixo (VERDE): Resulta na perda de algum recurso tangível, não afetando ou afetando de forma branda a operação do negócio. Probabilidade de nível Alto (VERMELHO): Os controles para prevenir o risco não são efetivos ou não existem controles de prevenção do risco. Probabilidade de nível Médio (AMARELO): Os controles para prevenir o risco são efetivos, porém não são monitorados ou são monitorados es­ poradicamente. Probabilidade de nível Baixo (VERDE): Os controles para prevenir o risco são efetivos e monitorados constantemente. De forma a exemplificar a elaboração de uma Matriz de Risco selecionamos dois ativos e os classi­ ficamos a partir dos conceitos abordados anterior­ mente, o resultado é a matriz seguinte:
Maio 2012 • segurancadigital.info

Matriz de Risco
Após o levantamento e análise dos riscos dos pro­ cessos o segundo passo a ser realizado é a matriz de risco dos ativos da empresa. De acordo com a norma 27002 uma Matriz de Risco é uma matriz criada du­ rante o processo de análise de risco e utilizada para definir os diversos níveis de risco a partir das catego­ rias de probabilidade de danos e categorias de severi­ dade dos danos. A matriz de risco possibilita uma maior visibilidade dos riscos de forma a auxiliar a to­ mada de decisão e gestão dos ativos e processos. A elaboração da matriz de risco trata dos seguin­ tes temas: Impacto: O valor do ativo é avaliado com base nos critérios de segurança da informação (Integri­ dade, Disponibilidade e Confidencialidade), nessa avaliação é estimado o impacto do ativo para o processo no caso de falha de segurança. Vulnerabilidade: Este item trata de característi­ cas que podem acarretar em uma falha de seguran­ ça da informação para o processo no qual o ativo está relacionado, normalmente um ponto passível de falha física, técnica ou organizacional do pro­

|06

ARTIGO Segurança Digital

Devem ser levantados e classificados todos os ativos considerados relevantes ao negócio, um processo que pode ser demorado e demandar uma grande equipe de apoio, dependendo do tamanho e complexidade do ambiente tecnológico da empresa.

Fonte:
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informa­ ção. ABNT, 2005.

Jaime Porto Pinto Júnior
Graduado em Engenharia da Com­ putação, atua na área de auditoria dos controles de Tecnologia da In­ formação e consultoria fundamen­ tada nas melhores práticas dos frameworks de gestão de TI e segu­ rança da informação. Certificado COBIT 4.1 Foundation e ISO 27002 Foundation.

Linkedin: http://br.linkedin.com/in/jaimeppinto Email: jaimeportop@gmail.com Blog: www.auditi.com.br

|07

Maio 2012 • segurancadigital.info

Apple e Flashback - Fatores e constatações para todos os SO's
Fazer um sistema 100% seguro é o sonho de qual­ quer desenvolvedor, imagina então desenvolver, nes­ se molde, um Sistema Operacional e por ele ser a base para que outros sistemas sejam executados a questão de segurança fica ainda mais crítica, pois além de ter que cuidar de suas próprias questões de segurança, ainda tem que ver a questão de segurança dos outros e basta uma falha em um desses softwares para toda uma história de sistema operacional seguro ir por água abaixo. Mas por que estou falando isso? Todo mundo fi­ cou sabendo do vírus Flashback que segundo especi­ alistas infectou mais de 600 mil MACs neste mês de Abril.OK, o que isso ainda tem a ver com o assunto? Para responder isso vamos ao fato que a Apple sem­ pre vendeu, principalmente pelos seus usuários, que é um sistema 100% seguro, que não era possível ter qualquer ameaça relacionada a segurança. O Flash­ back mostrou a eles que estavam errados e que de­ senvolver um sistema 100% seguro continua sendo uma tarefa muito difícil, para não dizer impossível. Mas quem defende a ideia de que os sistemas da Apple são totalmente seguros podem contra­atacar, mas a falha que o vírus explora não é no sistema e sim em um aplicativo, então o SO continua sendo se­ guro! Então vamos a mais alguns fatos: a falha real­

mente não foi no sistema, mas sim do aplicativo Java, porém ela já tinha sido corrigida em Fevereiro desse ano, ou seja, a falha foi explorada dois meses depois da correção, tempo mais do que necessário para a correção ser publicada e avisada aos seus usuários para se atualizarem, uma ação que a empre­ sa não fez, já que a versão que roda nos MACs in­ fectados é de Outubro do ano passado. Então a falha está ligada sim ao sistema, pois se existe uma falha conhecida e nada foi feito para re­ solve­la, você está sendo conivente com ela, logo se algo acontece relacionada a ela, a culpa será sua. Uma velha máxima da segurança da informação diz “O seu sistema é tão seguro quanto ao seu elo mais fraco”, ou seja não adianta você ter um cofre com “segurança máxima” e a chave ser escondida debaixo do tapete. Porém outro fato também está atrelado ao evento “Flashback” que é: as falhas nos sistemas aparecem quase que proporcionalmente ao uso do software. E é isso que acontece atualmente com a Apple com o bo­ om dos “I”s (Iphone, Ipad, Itouch ...), muitos usuári­ os começaram a comprar os seus produtos e com isso, as pessoas mal intencionadas do mundo digital, começaram a ver uma oportunidade nesse “novo mundo” que surgiu e começaram a procurar falhas

|08

Maio 2012 • segurancadigital.info

ARTIGO Segurança Digital

que pudessem usá­las. Eles procuraram e acharam. Um fato parecido com isso acontece com o Win­ dows, está certo que as brechas que ele possui são BEM maiores que as da Apple e que muitas delas ainda nem possuem correções, porém se formos olhar o número de usuários que os MACs possuem e os de Windows a diferença é gigantesca, então se você es­ colhesse algo para ter uma chance maior de sucesso o que você escolheria onde sua chance seria maior ou menor? No caso dos vírus, onde tem mais usuários ou menos usuários para atingir? Não estou defenden­ do, só pedindo para refletir. Outro caso que podemos colocar alinhado a todos os fatos citados acima é o Android. Vamos colocar que ele está na ativa a mais ou menos um ano e meio, e é de ciência de todos que ele hoje está em grande parte dos smartphones e seguindo a linha de malwa­ res encontrados por número de usuários, podemos ver que segue uma lógica, pois o número de malwa­ res para Android é absurdo, são mais de 10000 divi­ dindo pela data acima, um ano e meio (cerca de 548 dias) isso dá quase 20 dessas pragas sendo criadas por dia, é muita coisa. No caso do Android pode se usar a defesa de que não é o sistema que possui falhas, pois são aplicati­ vos que são instalados nele que possibilitam os ata­ ques, então pergunto e se o sistema não deixasse esses aplicativos serem instalados? Isso ocorreria? Com isso a falha chega a ser do sistema sim, por ter que pelo menos emitir um alerta que outro programa está sendo instalado, técnicas para isso existem, mas tem que serem bem executadas, porém se ele possuir e não exibir a falha é mais grave ainda, pois quem vai usar o sistema será um usuário que não quer sa­ ber de segurança, quer somente usar o seu celular, porém esse assunto usuário x segurança é complica­ do e foge do contexto desse artigo. Então o que o “Flashback” nos mostrou o que já sabíamos, não existe um sistema 100% seguro, mas sim um sistema não explorado e temos que ficar atentos a isso, pois a segurança começa com nós.

mais usuários, então o caso é o seguinte, será que se o Linux se popularizar o evento “Flashback” também não irá ocorrer? A comunidade Linux na questão de corrigir erros é bastante eficiente, mas será que nesse caso ela conseguirá dar uma resposta melhor que a da Apple? Não sei somente o tempo dirá e quando o Li­ nux se popularizar.

Ambos os sistemas acima já tiveram momentos negros onde foram comprometidos.

Laerte Costa
Formado em Sistemas de Informa­ ção e certificado MCSA 2003, tra­ balho com administração de redes, tanto windows quanto linux, a mais de 5 anos e escrevo artigos para o site www.cooperati.com.br. Sou um buscador incessante de informação pois acredito que ela que faz a dife­ rença entre um ser bem ou mal su­ cedido.. Twitter: @laerte_hc Site: www.cooperati.com.br

PS:
Vou colocar um PS aqui na questão do Linux, pois assim como os usuários Apple, umas das ideias ven­ didas pelos usuários, eu me incluo nessa, é que o sis­ tema é seguro, se formos olharmos a questão de usuários é de questão notória que o Windows possui

|09

Maio 2012 • segurancadigital.info

Liberação De Registro De Nomes De Domínio Top Level - Retrocesso Ou Evolução?

tica lemá ob A pr

eira rasil eb lidad ea da r

nte rece ea

a. sitan o lu raçã libe

Desde que o Brasil ingressou no processo de democratização do acesso à rede mundial de com­ putadores, iniciado em meados da década de 90, a problemática relativa aos conflitos entre nomes de domínio só tem crescido. O registro de nomes de domínios no Brasil é disciplinado pela Resolução nº 001/98 do Comitê Gestor da Internet (CGI), a qual adotou a regra do “first to file”, ou seja, o direito ao nome de domí­ nio será conferido a aquele que primeiro o reque­ rer1. A resolução, porém, estabelece algumas restri­ ções (art. 2º, III, b do Anexo I) quanto ao registro de domínios, que em tese, é livre no Brasil, dentre essas restrições, elencamos as seguintes: a) Palavras de baixo calão b) Palavras reservadas pelo Comitê Gestor c) Marcas de alto renome ou notoriamente co­ nhecidas, quando não requeridas pelo próprio titu­ lar Diante desse cenário, surgem, no Brasil, diver­ sos conflitos relacionados ao registro de nomes de domínio, referentes a marcas registradas, nomes
1 Art. 1º Resolução nº 001/98 do Comitê Gestor da Internet.

empresariais, indicações geográficas, dentre ou­ tros. Como no Brasil o registro de marcas efetuado no Instituto Nacional da Propriedade Industrial (INPI) leva em consideração o princípio da espe­ cialidade das marcas, uma marca, portanto, só é protegida dentro do ramo de atividades reivindi­ cado, comportando algumas exceções, tais como as marcas de alto renome ou notoriamente conhe­ cidas. Ao contrário do princípio aplicado ao registro de marcas, o registro de domínios não tem a pos­ sibilidade de possuir vários domínios homônimos registrados sob classificações diferentes. Nesse caso, portanto, o princípio aplicado é o “first to file”. No entanto, relativamente às marcas, existe a possibilidade de haver duas marcas homônimas, registradas sob classificações diferentes (ex.: Veja revista e Veja produtos de limpeza) e somente uma delas poderá ser titular do domínio “www.ve­ ja.com.br”. Será titular do domínio quem primeiro registrá­lo. Diante dos inúmeros conflitos gerados a partir desta situação, uma vez que a prova da titularidade

|10

Maio 2012 • segurancadigital.info

ARTIGO Segurança Digital

da marca só é requisito para registro de domínios de marcas de alto renome ou notoriamente conhe­ cidas, a exemplo das marcas “Coca­Cola, Mc Do­ nald’s, Pepsi, etc”. Há doutrinadores no Brasil que defendem a exi­ gência de titularidade das marcas para registro de domínios, muitas vezes argumentando que em al­ guns países da Europa tal prática era adotada. Ocorre que, na Europa, tendência inversa vem se mostrando nos últimos anos, culminando com a liberalização do registro de domínios “Top Level” sem que haja a exigência da comprovação da titu­ laridade da marca. Isso ocorreu em Portugal, com a liberação do registro de domínios a partir de 1º de maio de 2012. Essa mudança nas regras lusitanas deve­se ao fato de que vários países membros da União Euro­ péia (UE) já não possuem tais exigências para o registro de domínios “Top Level”. Além disso, ar­ gumenta­se que a liberação fomenta o desenvolvi­ mento da internet nacional, além de manter no país os recursos provenientes de tais registros.2 A informação é de que com essa nova abertura, o nú­ mero de registros de domínios “.pt” dobrou. Diante de tal cenário, considerando que este é o modelo que desde o início do processo de demo­ cratização do acesso à internet, foi adotado, no Brasil, e que possui os problemas que possui, co­ mo os previamente apontados além, ainda, da questão dos registros de domínios com fins de es­ peculação. Seguindo uma tendência mundial, Portugal aboliu as exigências de titularidade de marca para registros de domínios “Top Level” nacionais, de­ monstrando as vantagens advindas de tal processo. No Brasil, as questões relativas a conflitos de nomes de domínio tem sido resolvidas no judiciá­ rio. A saída mais adequada para os problemas ad­ vindos da possibilidade de registro livre está no investimento em uma estrutura de resolução de conflitos em matéria de nomes de domínio que ofereça a celeridade necessária à resolução de tais questões, atendendo aos interesses de todos no rit­ mo exigido pela Sociedade da Informação.

Alguns exemplos são a arbitragem já realizada no âmbito da Organização Mundial da Propriedade Intelectual3, e também no Centro de Arbitragem para a Propriedade Industrial, Nomes de Domínio, Firmas e Denominações – ARBITRARE, em Portugal.4

Figura 1 ­ "Registrou primeiro, é seu".

Lígia Barroso

t t h

// : p

Advogada, atuante em Direito Eletrônico e Propriedade Intelectual. Mestranda em Direito da Propriedade Intelectual na Uni­ versidade de Lisboa (FDUL), Especialista em Direito Eletrônico e Tecnologia da In­ formação pelo Centro Universitário da Grande Dourados (UNIGRAN).

Email: ligiabarroso@hotmail.com Twitter: @ligiaabarroso

2 http://clix.exameinformatica.pt/noticias/internet/2012/02/14/registo­de­enderecos­em­.pt­totalmente­liberalizado­a­1­maio 3 http://www.wipo.int/amc/en/domains/ 4 https://www.arbitrare.pt/index.php

|11

Maio 2012 • segurancadigital.info

Eduardo Fedorowicz (Agenda TI) ­ MBA Gerenciamento de Projetos pela FGV; graduado em Ciência da Computação pela UGF. Mais de 14 anos de experiência em TI, atuando nos últimos 9 anos na área de Segurança de TI. Mantém desde 2011 o site www.agendati.com.br que reúne em um só lugar os principais eventos, congressos e workshops de Segurança da Informação, Inovações Tecnológicas e Tendências de TI. Email: eduardo@fedorowicz.com.br Site : http://www.agendati.com.br Twitter: @fedorowicz @agendati

|12

Maio 2012 • segurancadigital.info

A tendência de cloud computing nas organizações

A

cada dia percebo que a compreensão e o amadu­ recimento do conceito de cloud computing está mais rápido e potencialmente um transformador das diretrizes de TI dentro das organizações, a tal ponto de alterar os seus processos, as alocações de budget e a forma de trabalho dos profissionais em geral.

Quando analisamos com detalhes os processos de TI das empresas percebemos que muitas de suas apli­ cações não são estratégicas e não demandam tanto por segurança ou disponibilidade a tal ponto de que sejam realizados fortes aportes de capitais para su­ portar tal operação com recursos de alta capacidade e sem de fato utilizarem totalmente o seu potencial. Es­ se investimento mal realizado acaba afetando as áre­ as que realmente são críticas e essências para o negócio da companhia. E as organizações estão sempre sob a pressão por redução de custos e paralelamente, a complexidade do ambiente de negócios demanda respostas mais rá­ pidas de TI e soluções cada vez mais complexas. Analisando todo o potencial de cloud computing, po­ demos fazer com que essas duas vertentes andem juntas e de forma harmoniosa. E o que é Cloud? Como entender os seus concei­ tos e utilizá­los de forma produtiva e efetiva no pla­ nejamento estratégico das companhias? Entendo cloud como sendo a organização de re­

cursos computacionais armazenados em poderosos Data Centers que oferecem serviços com alta escala­ bilidade, acessibilidade e disponibilidade, interliga­ dos e acessíveis de qualquer ponto da rede mundial de computadores (internet). O gerenciamento facili­ tado e os baixos custos também são inerentes aos conceitos de cloud computing. São muitos os recursos que compõem a simplici­ dade que cloud computing representa para essa nova visão da reestruturação de TI nas empresas e nossa viagem começa justamente pelo ambiente onde toda essa organização é desenvolvida e preparada para nos atender: O Data Center. O que falar dos Data Centers modernos, lugares fantásticos repletos de alta tecnologia, complexidade, redundância, monitoração, sustentabilidade, backup, segurança, ufa... são muitos os ingredientes que fa­ zem desses lugares um fantástico mundo de tecnolo­ gia pouco conhecido de todos nós, usuários de redes sociais, serviços on­line, emails e tudo mais que acessamos no mundo digital de forma simples e prática. A todo o instante em que estamos conectados, es­ tamos gerando informação ou recebendo informação. Esse conjunto de dados está armazenado em algum lugar e justamente aí está a responsabilidade dos Da­ ta Centers em manter esses dados sempre íntegros,
Maio 2012 • segurancadigital.info

|13

ARTIGO Segurança Digital

disponíveis e acessíveis o tempo todo, para que o cli­ ente não fique sem a sua informação, ou em termos práticos, não fique sem acesso ao seu feed de notíci­ as, ao seu timeline, aos seus emails, aos seus aplicati­ vos, a sua cloud, etc. Toda essa massa de informação está armazenada dentro de equipamentos conhecidos como storages, de diferentes fabricantes e tecnologias, para atender a necessidade do negócio do cliente. São equipamentos que possuem alta redundância e escalabilidade para atender ao crescimento das informações armazena­ das. Vamos mais adiante e nos deparamos com a virtu­ alização, essa fantástica capacidade de alocação de recurso para servidores virtuais aproveitando com mais inteligência o poder dos servidores físicos, oti­ mizando o seu uso e seu processamento. Essa tecno­ logia nos permite provisionar e criar servidores de acordo com a ne­ cessidade real de negócio, maximizando resultados e reduzindo custos drasticamente. E por que não juntar a força dos storages com a maestria da virtualização dentro de poderosos Data Centers e fazer com que tenhamos uma poderosa fer­ ramenta de TI para alavancar o sucesso do seu negó­ cio? Chegamos ao ponto de nossa viagem onde esses três recursos combinados compõem o cerne da com­ putação em nuvem (cloud computing) agregando es­ calabilidade, acessibilidade e disponibilidade da sua aplicação. Podemos encontrar um número razoável de solu­ ções de empresas como Amazon, que oferecem solu­ ções de cloud para todos os tipos de gosto e bolso, ou seja, não importa o tamanho da sua TI e de suas ca­ pacidades financeiras, há oportunidades para todos. Além disso, essas empresas oferecem poderosas ferramentas web que possibilitam o gerenciamento remoto de toda sua cloud sem intervenção humana direta nos equipamentos para atender a sua necessi­ dade. Tudo está ao seu alcance através de um ponto de internet e um bom staff de TI para alavancar o seu sucesso. Não menos importante e de fundamental relevân­ cia está uma efetiva política de segurança que vai re­ gulamentar e direcionar o uso da sua cloud bem como uma boa monitoração dos serviços e como sempre não poderia ficar de fora, uma robusta políti­ ca de backup para garantir a recuperação e a conti­ nuidade do seu negócio em casos críticos de perda de

dados ou falhas humanas. Normalmente esses recur­ sos também são fornecidos pelas soluções de cloud, mas é importante que fiquemos atentos e adequemos a nossa realidade e necessidade. Neste ponto, você deve estar se perguntando: “Tudo muito interessante, mas por onde eu come­ ço?”. Primeiramente é imprescindível que saibamos o custo total de nossa operação de TI e o quanto ela é importante e representativa para seu negócio. Segun­ do, avaliar os processos que regem o uso da TI e sua adequação a sua operação. E por último, comprome­ timento da alta diretoria para a importância que TI exerce na empresa e o valor que isso pode represen­ tar na redução de custos operacionais e para maximi­ zação de lucros. Por fim, cloud não deve ser questionado como viável ou não, mas sim de que forma iremos utilizá­ la dentro de nossa organização para transformar TI em um gerador de receita alinhado com o negócio da companhia e seu planejamento estratégico. O mo­ mento é crucial e transformador, pois vai definitiva­ mente qualificar a área de TI como essencial para as organizações e sua existência será premissa para qualquer novo negócio.

Leonardo Pereira Guimaraes
Graduado em Ciência da Computação e MBA em Gestão Empresarial pela FGV, iniciou a carreira como especialista em sistema operacional Solaris e infraestrutura de redes. Ao longo de 13 anos de experiência agregou conhecimentos de segurança e operação de Data Center. Atualmente é Gerente de Operações de Data Center de uma das maiores Autoridades Certificadoras Brasileiras. Email: leonardo.pereira.guimaraes@gmail.com Twitter: @leoguimainfo.

|14

Maio 2012 • segurancadigital.info

Proteção! Prevenção! Detecção! Detenção!

Firewall de Nova Geração

N

um passado não tão distante, os usuários corpo­ rativos passivamente acessavam as informações da empresa em seus terminais e estações de tra­ balho. Com a chegada dos notebooks, foi possível ter uma maior mobilidade, que cresceu exponencialmente com a adoção dos smartphones e tablets pessoais, além de au­ mentarem a produtividade, trazem a tão sonhada “liberda­ de”, livre das políticas restritivas de segurança das empresas.

Trazendo Ordem ao Caos!
A tecnologia cresceu, os computadores e os usuá­ rios evoluíram e a internet mudou. Essa mudança trouxe vários benefícios: serviços nas nuvens, redes sociais, comunicação entre pessoas, compras online, transações bancárias, dentre outros. Tudo isso não só no computador pessoal, mas também no ambiente corporativo. Algumas dessas aplicações se tornaram indispensáveis no nosso dia a dia, são elas: Skype, Google Docs, Facebook, Youtube, Twitter e muitos outros serviços. Mas como controlar tudo isso? Soluções separa­ das têm visões limitadas do tráfego, ou até mesmo a utilização de tecnologias antigas/atuais com o con­ ceito “do tudo ou nada” não são mais eficientes. Não há mais como simplesmente bloquear o aces­ so corporativo a todas estas aplicações, porém permi­

tir o acesso não inspecionado mesmo que para grupos específicos, como normalmente é realizado hoje em dia, representa uma séria ameaça à seguran­ ça das redes corporativas. Surgem então novas exigências para um Firewall: Identificar aplicações independentemente de por­ ta/protocolo, tática evasiva ou SSL, identificar usuá­ rios. Proteção em tempo real contra ameaças embutidas em aplicações. Visibilidade granular e controle de acesso de aplicações/funcionalidades. Por fim, utilizar os recursos de controle de aplicação e prevenção de intrusão sem degradação de desempe­ nho da solução.

Um Pouco de História
Para entender o que é um Firewall de Nova Gera­ ção é necessário entender um pouco das gerações an­ teriores. Em seu conceito original é um sistema ou dispositivo projetado para bloquear acessos não au­ torizados. É uma tecnologia antiga, do final da déca­ da de 80, o que explica suas limitações. Nos badalados anos 90 a tecnologia evoluiu e com ela a chegada do conceito de stateful inspection, que vinha a se tornar um padrão de mercado. Com o passar do tempo tornou­se item obrigatório, uma commodity em todas as empresas e acabou virando para leigos sinônimo de proteção.
Maio 2012 • segurancadigital.info

|15

ARTIGO Segurança Digital

Toda essa evolução não resolveu sua característica e limitação conceitual: tomar decisões a partir de portas e protocolos. Ao mesmo tempo as técnicas de invasão utilizadas por hackers evoluíram gerando ou­ tros sistemas de segurança complementares os conhe­ cidos “helpers”. O mais importante deles o IPS (intrusion prevention system), é item indispensável no ambiente corporativo. Para o Gartner (www.gartner.com), o Firewall de Nova Geração deve incorporar, além do IPS, as fun­ cionalidades de identificação de aplicações, integra­ ção com usuários e filtros web. Um Firewall de Nova Geração precisa ter todas as características das soluções atuais, incluindo as fun­ cionalidades do IPS integradas com as funções do Fi­ rewall, de forma que problemas detectados no IPS possam gerar regras automáticas ou uma sugestão pa­ ra criá­las. Identificar o tráfego de cada aplicação in­ dependentemente da porta/protocolo, uso de criptografia ou de endereço de destino utilizado. Inte­ grar serviços de diretório para permitir a aplicação granular de regras com base nos usuários ou grupos de usuários relacionados ao tráfego inspecionado na borda da rede.

­ Fornecer assinatura de reputação baseada em fil­ tragem para bloquear aplicativos maliciosos;

Conclusão
Uma lição que podemos tirar de tantas mudanças é que precisamos realmente pensar a frente do nosso tempo, investir em soluções não só para suprir as ne­ cessidades do momento, mas sim investir em solu­ ções que venham agregar valor para o ambiente atual e futuro. Conforme matéria publicada na nossa pri­ meira edição de 2012, não precisamos ser videntes pra saber realmente o que vem pela frente. Ameaças mais sofisticadas, acessos mais intensos e com tudo isso precisamos garantir a tão sonhada segurança no ambiente corporativo. Na próxima atualização das soluções de segurança na sua empresa, procure informações mais detalhadas sobre essas tecnologias de “Nova Geração”, que não só vão aumentar seu controle como também vão ga­ rantir a visibilidade e melhorar sua Segurança.

O que realmente é um Firewall de Nova Geração?
Se há uma maneira simples de descrever as dife­ renças entre a geração atual e a nova geração, são os controles mais detalhados. Ao contrário dos tradicio­ nais Statefull Firewall, que trata porta e protocolo, a nova geração foi projetada para identificar e contro­ lar principalmente aplicações. Vejamos o que o NSSLabs (www.nsslabs.com) diz a respeito: Firewall de Nova Geração ou Next­Gene­ ration Firewall (NGFW) integra prevenção de intru­ são, controle e identificação de aplicação e criação de regras por usuários e grupos.

Johnantan Pereira (Editor Chefe)

Principais Características
­ Aplicar as normas da empresa; ­ Controlar o acesso a websites e aplicativos on­li­ ne; ­ Decifrar, inspecionar e reestabelecer a conexão SSL criptografada. Isso elimina a criptografia como um método de esconder malware; ­ Incorporar inspeção profunda de pacotes (IPS); ­ São capazes de autorizar o uso do aplicativo com base em perfis de usuários individuais ou grupos;

Analista de Segurança, Graduado em Redes de Computadores pela Facul­ dade Estácio do Ceará, com Extensão em Perícia Forense Computacional. Apaixonado por Tecnologia, Admira­ dor e Pesquisador da Cultura Hacker.

Email: johnantan.pereira@gmail.com Twitter: @johnantan

|16

Maio 2012 • segurancadigital.info

Sobre o OWASP
O Open Web Application Security Project (OWASP) é um projeto open source voltado para promover a segurança de aplicações no uso por em­ presas, entidades educacionais e pessoas em todo o mundo. Todos os membros são voluntários que dedi­ cam seu tempo e energia para a organização. Os membros da OWASP, com apoio de organizações educacionais e comerciais formam uma comunidade de segurança que trabalha em conjunto para criar me­ todologias, documentação, ferramentas e tecnologias para a segurança das aplicações web. Toda essa estru­ tura é fomentada por patrocinadores. Existem duas principais formas de patrocinar a fundação: associan­ do­se como empresa ou individualmente ou por meio de patrocínio de projetos. Entre seus patrocinadores empresariais estão nomes como: Amazon, Adobe, Qualys, Nokia, IBM, (ISC)2, Oracle entre outras grandes empresas.

tidos pela área com palestrantes amplamente respei­ tados pela comunidade de segurança da informação nacional e internacionalmente.

OWASP Floripa Day
A primeira edição do OWASP Floripa Day será realizada entre os dias 15 e 16 de setembro de 2012, em Florianópolis. Serão dois dias de palestras espe­ cíficas na área de segurança de aplicações ministrada por profissionais do Brasil e exterior. OWASP FLO­ RIPA DAY é o único evento realizado em Florianó­ polis totalmente dedicado a segurança de aplicações e que irá se consolidar como um encontro único de pesquisadores, arquitetos de sistemas, líderes e ges­ tores técnicos de empresas. Este tipo de evento sem­ pre atrai uma audiência mundial interessada em conhecer as tendências e caminhos futuros da segu­ rança em aplicações; e além da cobertura proporcio­ nada pela mídia local é divulgado em canais dedicados à segurança que atingem profissionais de todo o mundo. Quem deverá atender ao OWASP FLORIPA DAY 2012: desenvolvedores de aplicati­ vos, testadores de aplicativos e de qualidade, geren­ tes de projetos de aplicativos e funcionários, associados e membros da OWASP, auditores, e pes­ soas responsáveis pela segurança de TI e compliance, gerentes de segurança e pessoal, executivos, gerentes e pessoas responsáveis pela governança de TI, pro­ fissionais de TI interessados em aprofundar seus co­ nhecimentos em segurança.

Sobre o capítulo de Florianópolis
Florianópolis está se consolidando, no cenário na­ cional e internacional, como um polo de empresas de base tecnológica. Possui cerca de 600 empresas de software, hardware e serviços de tecnologia. Por esta razão um capítulo da OWASP foi aberto em Floripa para despertar a conscientização das pessoas envolvi­ das com tecnologia da informação em relação à segu­ rança das aplicações. O capítulo do OWASP em Florianópolis busca educar a comunidade, empresas, professores, e pessoas interessadas nesta área sobre a importância da segurança de aplicações. O capítulo de Floripa também procura capacitar e aperfeiçoar os profissionais, através de lista de discussão, mini cur­ sos realizados nos meios acadêmicos, encontros para debates e eventos com palestras focadas nas mais avançadas técnicas e nos assuntos mais atuais discu­

http://www.owasp.org https://www.owasp.org/index.php/Florianopolis OWASP Floripa Day: https://www.owasp.org/index.php/OWASP_Floripa_D ay_2012
Maio 2012 • segurancadigital.info

|17

Você gostaria de ir ao evento Floripa Day nos dias 15 e 16 de setembro? Então publique em seu perfil no twitter: @_SegDigital eu quero ir ao @owasp_floripa E concorra a 1 convite sorteado por nossa equipe... O sorteio será realizado no dia 16/06

|18

Maio 2012 • segurancadigital.info

Qual sua opinião?

Hacktivismo - Anonymous vilões ou mocinhos?
Hacktivismo, nome dado as ações realizadas pela modalidade de hackers que utilizam a via digital para promover invasões como meio de protesto contra al­ guma situação pelo qual prejudicam a população em geral, que envolvam assuntos de politica, liberdade de expressão e direitos humanos por exemplo. Não há como falar em hacktivismo sem citar o fa­ moso grupo conhecidos como Anonymous, quem nunca ouviu falar não é mesmo? Resguardados por traz de uma mascara de Guy Fawkes, eles vem ga­ nhando repercussão ultimamente pela mídia ao de­ fender causas em prol da sociedade. Diversos sites como os governamentais, de bancos entre outros já foram alvos de ataques promovidos por eles, geralmente depois de anunciar o site alvo em rede social, momento depois ele acaba ficando in­ disponível para acesso devido à ataque de negação de serviço ou simplesmente DDoS. Mas como eles são vistos pela sociedade, vilões ou mocinhos? Bem é claro que existem pessoas que são contra e outras já são a favor em relação as suas atitudes, para as organizações atingidas e ameaçadas, os Anony­ mous são visto como vilões dessa história, agora para quem quer fazer justiça, no caso os mocinhos passam a fazer papel na cena. Uma coisa que se pode notar com facilidade é que

o grupo Anonymous gosta de chamar atenção, não só do poder público e empresas privadas, mas de toda a população, de fato este grupo esta no centro das atenções, no topo de pesquisas realizadas no Google e nos trending topics do Twitter. Aconteceu recentemente no dia 21 de abril um grande movimento social em várias cidades brasilei­ ras organizadas através das redes sociais (Facebook e Twitter), o Dia do Basta à Corrupção uma série de protestos realizados nas ruas contra a corrupção, en­ tre os protestos os objetivos eram: ­ O voto aberto no congresso ­ Pelo fim do foro privilegiado dos políticos ­ Corrupção seja considerada crime hediondo

Evento esse que teve como aliado o Anonymous. Nas manifestações era comum encontrar algo que os simbolizassem. Não há poder sem informação, sem dúvida algu­ ma essa frase faz parte do undergound, o intrigante mundo dos hackers. A eterna busca de mais dados, mais informações, mais sabedoria e mais conheci­ mento é o que motiva membros que fazem parte des­ te universo virtual, motiva criminosos, profissionais, entusiastas e curiosos. O entendimento completo de
Maio 2012 • segurancadigital.info

|19

ARTIGO Segurança Digital

uma tecnologia é fundamental, o conhecimento com­ pleto de todas às tecnologias é um sonho! Trecho da publicação realizada no link [1].

Acesso em: 30 de abr. 2012 Crimes pela Internet. Disponível em: < [3] > Acesso em: 28 de abr. 2012

Podemos falar que esta mascara é o símbolo registrado do grupo Anonymous.

Links
[1] ­ http://fabiojanio.com/?p=224 [2] ­ http://www.diadobasta.tk O ciberespaço é um lugar perigoso, cheio de curi­ osos, criminosos e espiões. No mundo moderno os crimes estão se dando por meio da rede mundial de computadores onde um criminoso pode ir de um can­ to a outro do país em questão de segundos. Cada vez mais jovens se veem influenciados por este ambiente curioso e digital, eles são atraídos pela fantasia de serem livres e terem o poder em seus de­ dos. Pode ter certeza que muitos "adolescentes" so­ nham em fazer parte de um grupo de hacktivistas como o Anonymous, por muitas vezes essas pessoas não fazem ideia do quão perigoso é entrar no sub­ mundo dos hackers. [3] ­ http://www.crimespelainternet.com.br/ hackers­de­marginais­a­herois­da­era­digital

Nágila Magalhães
Graduada em Tecnologia em Redes de Computadores pela FCAT e Pós graduanda em Segurança Computacional pelo IESAM. Apaixonada por tecnologia e ciberespaço, tenho em especial conhecimento nas áreas de segurança computacional e computação forense pelo qual tenho enorme interesse e admiração. Atualmente atuando como colu­ nista na área computacional.. E­mail: nagilamagalhaes@gmail.com Twitter: @netnagila

Referências
Dia do Basta à Corrupção. Disponível em: < [2] >

|20

Maio 2012 • segurancadigital.info

Conheça os principais algoritmos de cifragem

Criptografia simétrica e assimétrica (parte 2 - final)
Este artigo é uma continuidade da edição passada...
5. Assinatura digital
O sistema de criptografia assimétrica ou de chave pública também é utilizado como um meio de assina­ tura digital. A pessoa que assina usa sua chave priva­ da para criptografar uma mensagem conhecida, e o texto cifrado pode ser decifrado por qualquer um usando a chave pública desta pessoa, assim como uma assinatura em papel, consiste em um bloco de informação adicionado à mensagem que comprova a identidade do emissor, confirmando quem ele diz ser. O processo se baseia em uma inversão do sistema, onde o funcionamento da assinatura digital pode ser descrito como: o emissor cifra (ou seja, atesta auten­ ticidade) a mensagem com sua chave privada e a en­ via, em um processo denominado de assinatura digital. Cada um que receber a mensagem deverá ve­ rificar a validade da assinatura digital, utilizando pa­ ra isso a chave pública do emissor, reconhecendo de Tabela 3 ­ Principais algoritmos de assinatura digital Algoritmo
RSA

fato, que a mensagem não foi adulterada. Como a chave pública do emissor apenas decifra (ou seja, verifica a validade) mensagens cifradas com sua chave privada, obtém­se a garantia de autentici­ dade, integridade e não­repudiação da mensagem, o que é apoiado pela função hashing, pois se alguém modificar um bit do conteúdo da mensagem ou se outra pessoa assiná­la ao invés do próprio emissor, o sistema de verificação não irá reconhecer a assinatu­ ra digital dele como sendo válida. É importante perceber que a assinatura digital, como descrita, não garante a confidencialidade da mensagem. Qualquer um poderá acessá­la e verificá­ la, mesmo um intruso, apenas utilizando a chave pú­ blica do emissor, assim, ao empregar o uso da técnica de assinatura digital o que se busca é a garantia de autenticidade, integridade e não­repudiação da men­ sagem.

Descrição
Como já mencionado, o RSA também é comutativo e pode ser utilizado para a geração de assinatura digital. A ma­ temática é a mesma, há uma chave pública e uma chave privada, e a segurança do sistema baseia se na dificuldade da fatoração de números grandes. Como o RSA, o ElGamal também é comutativo, podendo ser utilizado tanto para assinatura digital quanto para ge­ renciamento de chaves; assim, ele obtém sua segurança da dificuldade do cálculo de logaritmos discretos em um corpo finito. Maio 2012 • segurancadigital.info

ElGamal

|21

ARTIGO Segurança Digital
Inventado pela NSA e patenteado pelo governo americano, o Digital Signature Algorithm (DSA), unicamente desti­ nado a assinaturas digitais, foi proposto pelo NIST em agosto de 1991, para utilização no seu padrão Digital Signa­ ture Standard (DSS). Adotado como padrão final em dezembro de 1994, trata de uma variação dos algoritmos de assinatura ElGamal e Schnorr.

DSA

6. Função hashing
A assinatura digital obtida através do uso da crip­ tografia assimétrica ou de chave pública infelizmente não pode ser empregada, na prática, de forma isola­ da, é necessário o emprego de um mecanismo funda­ mental para o adequado emprego da assinatura digital. Este mecanismo é a função hashing. Assim, na prática é inviável e contraproducente utilizar puramente algoritmos de chave pública para assinaturas digitais, principalmente quando se deseja assinar grandes mensagens, que podem levar precio­ sos minutos ou mesmo horas para serem integral­ mente cifradas com a chave privada de alguém, ao Tabela 4 ­ Principais funções hashing Algoritmo

invés disso, é empregada uma função hashing, que gera um valor pequeno, de tamanho fixo, derivado da mensagem que se pretende assinar, de qualquer ta­ manho, para oferecer agilidade nas assinaturas digi­ tais, além de integridade confiável. Serve, portanto, para garantir a integridade do conteúdo da mensagem que representa, por isto, após o valor hash de uma mensagem ter sido calculado através do emprego de uma função hashing, qualquer modificação em seu conteúdo ­ mesmo em apenas um bit da mensagem ­ será detectada, pois um novo cálculo do valor hash sobre o conteúdo modificado resultará em um valor hash bastante distinto.

Descrição
O Secure Hash Algorithm (SHA­2) por outro lado significativamente difere da função hash SHA­1, desenhado pelo NSA é uma família de duas funções hash similares, com diferentes tamanhos de bloco, conhecido como SHA­256 e SHA­512. Eles diferem no tamanho, o SHA­256 utiliza 256 bits e o SHA­512 utiliza 512 bits. Há também versões truncadas de cada padrão, conhecidos como SHA­224 e SHA­384. O ICP­Brasil em suas mudanças anunciadas adotadas para o novo padrão criptográfico do sistema de certificação digital, esta implantando em 2012, o uso do SHA­512 em substituição ao seu antecessor, o SHA­1. Um novo padrão proposto de função de hash ainda está em desenvolvimento, pela programação do NIST a competição que apresentará esta nova função hash tem previsão de termino, com a seleção de uma função vencedora, que será dado o nome de SHA­3, ainda em 2012. O Secure Hash Algorithm (SHA­1), uma função de espalhamento unidirecional inventada pela NSA, gera um valor hash de 160 bits, a partir de um tamanho arbitrário de mensagem. O funcionamento interno do SHA­1 é muito pa­ recido com o observado no MD4, indicando que os estudiosos da NSA basearam­se no MD4 e fizeram melhorias em sua segurança. De fato, a fraqueza existente em parte do MD5, descoberta após o SHA­1 ter sido proposto, não ocorre no SHA­1. Em 2005, falhas de segurança foram identificados no SHA­1, ou seja, que uma fraqueza mate­ mática pode existir, o que indica que o uso de uma função hash mais forte é recomendável, o que motiva o uso pre­ ferencial de SHA­2. É uma função de espalhamento unidirecional inventada por Ron Rivest, do MIT, que também trabalha para a RSA Data Security. A sigla MD significa message digest. Este algoritmo produz um valor hash de 128 bits, para uma mensagem de entrada de tamanho arbitrário. Foi inicialmente proposto em 1991, após alguns ataques de criptoaná­ lise terem sidos descobertos contra a função hashing prévia de Rivest: a MD4. O algoritmo foi projetado para ser rápido, simples e seguro. Seus detalhes são públicos, e têm sido analisados pela comunidade de criptografia. Foi descoberta uma fraqueza em parte do MD5, mas até agora ela não afetou a segurança global do algoritmo. Entre­ tanto, o fato dele produzir uma valor hash de somente 128 bits é o que causa maior preocupação; é preferível uma função hashing que produza um valor maior. O MD4 é o precursor do MD5, tendo sido inventado por Ron Rivest. Após terem sido descobertas algumas fraque­ zas no MD4, Rivest escreveu o MD5. O MD4 não é mais utilizado. O MD2 é uma função de espalhamento unidire­ cional simplificada, e produz um hash de 128 bits. A segurança do MD2 é dependente de uma permutação aleatória de bytes. Não é recomendável sua utilização, pois, em geral, é mais lento do que as outras funções hash citadas e acredita­se que seja menos seguro.

SHA­2

SHA­1

MD5

MD2 e MD4

7. Sistemas híbridos
Em resumo, os algoritmos criptográficos podem ser combinados para a implementação dos três meca­ nismos criptográficos básicos: o ciframento, a assina­ tura e o hashing. Estes mecanismos são componentes dos protocolos criptográficos, embutidos na arquite­ tura de segurança dos produtos destinados ao comér­

cio eletrônico. Estes protocolos criptográficos, portanto, provêm os serviços associados à criptografia que viabilizam o comércio eletrônico: disponibilidade, sigilo, con­ trole de acesso, autenticidade, integridade e não­re­ púdio, usualmente apoiado por sistemas híbridos.

|22

Maio 2012 • segurancadigital.info

ARTIGO Segurança Digital

Tabela 5 ­ Protocolos com Sistemas Híbridos Algoritmo Descrição
Padrão de protocolos criptográficos desenvolvidos para o IPv6. Realiza também o tunelamento de IP sobre IP. É composto de três mecanismos criptográficos: Authentication Header (define a função hashing para assinatura digi­ tal), Encapsulation Security Payload (define o algoritmo simétrico para ciframento) e ISAKMP (define o algoritmo assimétrico para gerência e troca de chaves de criptografia). Criptografia e tunelamento são independentes, e per­ mite Virtual Private Network (VPN) fim­a­fim. Oferecem suporte de segurança criptográfica para os protocolos NTTP, HTTP, SMTP e Telnet. Permitem utilizar diferentes algoritmos simétricos, message digest (hashing) e métodos de autenticação e gerência de chaves (assimé­ tricos). O Pretty Good Privacy (PGP), foi inventado por Phil Zimmermman em 1991, é um programa criptográfico famoso e bastante difundido na internet, destinado à criptografia de e­mail pessoal. Algoritmos suportados: hashing: MD5, SHA­1 ­ simétricos: CAST­128, IDEA e 3DES ­ assimétricos: RSA, Diffie­Hellman e DSS. O Secure Multipurpose Internet Mail Extensions (S/MIME) consiste em um esforço de consórcio de empresas, li­ derado pela RSADSI e Microsoft, para adicionar segurança a mensagens eletrônicas no formato MIME. Apesar do S/MIME e PGP serem ambos padrões para a internet, o S/MIME tem sua maior utilização no mercado corporativo, enquanto o PGP é utilizado em e­mail pessoal. O SET é um conjunto de padrões e protocolos, para realizar transações financeiras seguras, como as realizadas com cartão de crédito na internet. Oferece um canal de comunicação seguro entre todos os envolvidos na transação. Ga­ rante autenticidade X.509v3 e privacidade entre as partes. Recomendação ITU­T, a especificação X.509 define o relacionamento entre as autoridades de certificação. Faz par­ te das séries X.500 de recomendações para uma estrutura de diretório global, baseada em nomes distintos para lo­ calização. Utilizado pelo S/MIME, IPSec, SSL/TLS e SET. Baseado em criptografia com chave pública (RSA) e assinatura digital (com hashing).

IPSec

SSL e TLS

PGP

S/MIME

SET

X.509

8. Conclusão
Qual o modelo de criptografia que devemos utili­ zar, simétrico ou assimétrico? A resposta é simples, devemos utilizar os dois, em um modelo denominado híbrido. Um exemplo de combinação de emprego é encontrado ao utilizar o PGP, que combina um siste­ ma de chave pública (Diffie­Hellmam ou RSA) com um sistema de chave privada (CAST, IDEA ou 3DES). Tabela 6 ­ Quadro comparativo Criptografia simétrica ou chave privada Rápida Gerência e distribuição das chaves é complexa Não oferece assinatura digital Em síntese, proteger a informação é uma máxima que persiste a cada instante quando se incrementa di­ ariamente o número de transações comerciais e fi­ nanceiras realizadas através de meios eletrônicos, em particular através da internet, neste contexto é neces­ sário o emprego de meios e recursos para que os da­ dos sigilosos estejam a salvo de intrusos, por isto a importância de conhecer as ferramentas e técnicas oferecidas pela criptografia, afinal desde os primórdi­

O algoritmo simétrico, por ser muito mais rápido, é utilizado no ciframento da mensagem em si, en­ quanto o algoritmo assimétrico, cerca de 1.000 vezes mais lento, permite implementar a distribuição de chaves e a assinatura digital, permitindo garantir a autenticidade de quem envia a mensagem, associada à integridade do seu conteúdo, complementado com a utilização do mecanismo de hashing para assegurar a integridade da assinatura digital.

Criptografia assimétrica ou chave pública Lenta Gerência e distribuição das chaves é simples Oferece assinatura digital os dos tempos o homem vem trabalhando de maneira persistente na elaboração de rotinas, que se transfor­ maram em algoritmos poderosos, e bem empregados propiciam a proteção desejada à informação, aumen­ tando a segurança dos dados e minimizando o im­ pacto dos ataques submetidos às informações que trafegam através das redes de computadores, pelos seus inúmeros dispositivos conectados e muitas ve­ zes vulneráveis.
Maio 2012 • segurancadigital.info

|23

ARTIGO Segurança Digital

9. Referências Bibliográficas
COSTA, Celso José da e FIGUEIREDO, Luiz Manoel Silva de. Criptografia Geral. 2 ed. Rio de Janeiro : UFF / CEP ­ EB, 2006. 192p. – (Curso de Criptografia e Segurança em Redes). FIGUEIREDO, Luiz Manoel Silva de. Números primos e criptografia de chave pública. Rio de Janeiro : UFF / CEP ­ EB, 2006. 180p. – (Curso de Criptografia e Segurança em Redes). OLIVEIRA, Ronielton Rezende. Criptografia tradicional simétrica de chave privada e criptografia assimétrica de chave pública: análise das vantagens e desvantagens. Niterói : Trabalho da pós­ graduação Criptografia e Segurança em Redes da UFF, 2006. 20p.

Ronielton Rezende Oliveira
MBA Executivo Internacional pela Ohio University/USA; MBA Gerencia­ mento de Projetos pela FGV; pós­gra­ duado Criptografia e Segurança em Redes pela UFF; graduado Ciência da Computação pela UninCor. Certificado PMP, CobiT, ITIL. Carreira direcionada em Governança de TI, Segurança da In­ formação e Gerenciamento de Projetos. Site: http://www.ronielton.eti.br Email: ronielton@ronielton.eti.br Twitter: @ronielton

|24

Maio 2012 • segurancadigital.info

Lan House Corporativa

D

icas infalíveis para criar uma Lan House Corpo­ rativa, acessível a todos os seus usuários, ofere­ cendo o que há de melhor para o “sucesso” do seu negócio.

Todos conhecem uma Lan House e o seu conceito de funcionamento. Lan House é um espaço comercial que normalmente disponibiliza aos seus clientes uma série de serviços por meio de recursos tecnológicos, como acesso à Internet por banda larga, pacotes de softwares para edição de arquivos de texto, planilhas, apresentações ou fotos, mais serviços de impressão, digitalização, cópia de arquivos, seleção de jogos, entre outros entretenimentos. Estes serviços são cobrados, sendo que em sua maioria por tempo de uso. Até aqui nenhuma novida­ de, certo? Agora imagine um lugar onde tudo isso possa estar a seu inteiro dispor, 8 horas por dia, com a melhor infraestrutura, incluindo além de um com­ putador exclusivo, transporte, café, almoço e o que é mais interessante: Além de não pagar nada por isso, você ainda recebe mensalmente um salário sem qual­ quer desconto pelo uso destes serviços. É melhor do que se fosse de graça. Sensacional!!! Sarcasmo? Pode parecer a princípio, mas essa é na verdade a realidade de muitas empresas em nosso país, especialmente no universo das pequenas e mé­

dias empresas (PMEs), onde mal há direcionamento adequado para investimentos em infraestrutura em tecnologia, quanto menos para gestão e segurança da informação. E esta falta de maturidade, muitas vezes originadas por parte do corpo diretivo da organiza­ ção, mas também algumas vezes vindo diretamente dos próprios gestores de TI, acaba por transformar a empresa em uma Lan House Corporativa. E pior, uma Lan House remunerada para os usuários! Com a expansão dos serviços oferecidos pelo ad­ vento da Internet a todos os setores de nossa socieda­ de, seja em uma empresa, em uma instituição de ensino ou mesmo em nossa casa, podemos tudo atra­ vés dessa incrível rede mundial. Trabalhar, estudar, comprar, nos relacionar e por que não, nos divertir e muito. Mas como somos ensinados desde pequenos, pra tudo há sua hora e seu lugar também, e talvez o que muitas pessoas têm dificuldade é distinguir quando é a hora e o lugar para “brincar”. Inúmeras pesquisas indicam que um funcionário chega a passar até 2 horas/dia do seu expediente de trabalho realizando tarefas particulares. Só com o uso improdutivo da Internet se gasta cerca de 1,7 ho­ ra/dia, sendo que o restante é gasto com telefonemas e saídas para fumar um cigarro ou tomar um cafezi­ nho. Fazendo um cálculo bem simples, este funcio­

|25

Maio 2012 • segurancadigital.info

ARTIGO Segurança Digital

nário passa em média 8 horas por semana tratando de assuntos pessoais utilizando a Internet. Na visão de um empresário, é melhor deixar este funcionário em casa 1 dia por semana, pois assim a empresa poderia economizar com transporte e alimentação. Parece bobagem, mas quando o empresário come­ ça a passar para o papel estes números, o resultado é alarmante. A BRConnection, empresa especializada em soluções para gestão e monitoramento de Internet disponibilizou uma calculadora em uma página com o seguinte título: “QUANTO CUSTA O MAU USO DA INTERNET EM SUA EMPRESA?”. Nela obtemos um cálculo com valores que passam despercebidos quan­ do não fazemos um bom uso dos recursos em nossa empresa. Depois que você inserir algumas informa­ ções, perceberá o tamanho do prejuízo. Como mencionei logo no início, boa parte destas empresas não têm a cultura de fazer TI parte inte­ grante do negócio, ela é quase sempre vista como uma área que só apresenta custos operacionais e não soluções estratégicas. Quando a direção tem essa vi­ são, ela acaba transferindo essa imagem a toda orga­ nização, deixando a TI em uma situação delicada. E é ai que começa a surgir na prática uma Lan House Corporativa. Trabalhando na implantação de sistemas de moni­ toramento de Internet e na criação de políticas de acesso e de segurança da informação, tenho me acos­ tumado a ver os departamentos de TI passarem por dois distintos momentos. O primeiro momento da im­ plantação é marcado por uma certa desconfiança por parte dos usuários que rapidamente se transforma em um tipo de ódio velado contra os colaboradores res­ ponsáveis pelo suporte de TI e às vezes até contra nós mesmos, quando fazemos parte do projeto. O se­ gundo momento só ocorre em organizações que in­ vestem em TI, não somente com Ferramentas, mas também em Processos e principalmente Pessoas. Neste segundo momento vemos TI ganhar respaldo não a base da força, mas no apoio dos demais depar­ tamentos quando estes entendem as razões para tal controle no acesso aos recursos da empresa, em espe­ cial a Internet. Normalmente eu me deparo com a primeira situa­ ção devido o fato de como a política de controle de acesso à Internet é implantada, que é a base do 8 ou 80, ou seja, ou bloqueia­se tudo ou permite­se tudo. Isso ocorre pela falta de planejamento em definir cla­

ramente quais são as regras do jogo, ou melhor, do negócio. E quem define as regras, o departamento de TI? A resposta é não! O departamento de TI é um se­ tor estratégico para a organização, mas não o único setor responsável pela criação da política de acesso. Quando o departamento de TI opta por bloquear qua­ se tudo achando que está fazendo algo positivo pela empresa, acaba sendo visto como um inimigo pelos demais departamentos, pois devido essa limitação de visão do negócio como um todo, sem perceber impe­ de o desenvolvimento e a evolução dos processos do negócio e ainda cria um ambiente de insatisfação ge­ ral, que acaba afetando a produtividade de toda a equipe de colaboradores. Por outro lado também nos deparamos com aque­ las empresas com um ambiente de trabalho agradá­ vel, onde não há regras limitando os colaboradores, pois tudo é baseado na confiança e nas metas que ca­ da um deve atingir. Aqui pode ser um excelente ce­ nário para propagação de malwares, degradação da rede, vazamento de informações e ainda uma boa parcela de improdutividade. Um excelente case para um modelo de Lan House Corporativa. Com a explosão da Web 2.0, hoje temos a dispo­ sição inúmeras ferramentas e serviços que podem tanto colaborar como interferir diretamente nas ativi­ dades da organização. O uso de redes sociais relacio­ nadas ao negócio é um requisito hoje em dia, porém cabe avaliar se todos devem ter este acesso disponí­ vel dentro da organização. O uso de serviços como Facebook, Google+, Twitter e Linkedin, pode ser fundamental para departamentos de Marketing, Re­ cursos Humanos e Atendimento ao Cliente, porém pode não trazer os mesmos benefícios se disponível em um departamento Financeiro, Fiscal ou ainda se­ tores como Produção, Portaria e Vigilância. Assim também com serviços multimídia como Youtube, Skype, MSN entre tantos outros podem ser interes­ santes para a área Comercial ou um departamento voltado a Treinamentos, mas se disponíveis a todos os usuários sem controles que restrinjam horários de acesso e banda de consumo, podem degradar a per­ formance da rede destinada ao uso de sistemas cor­ porativos, sem falar nos demais riscos já citados. Diante dessa quantidade de variáveis, é óbvio que o departamento de TI não tem condições de avaliar sozinho o que é melhor para a organização. Muito

|26

Maio 2012 • segurancadigital.info

ARTIGO Segurança Digital

menos o corpo diretivo, que em algumas empresas têm por hábito empurrar as regras ao estilo “up­ down”, sem realizar qualquer consulta, nem mesmo ao departamento de TI. Às vezes nos deparamos com situações que dei­ xam claro que TI só está preocupada com a Ferra­ menta que será utilizada para controlar os acessos, porém esquece de que sem um Processo bem defini­ do e sem Pessoas treinadas e conscientizadas, não haverá tecnologia que traga algum benefício para a organização. Não adianta adquirir o melhor filtro de conteúdo de internet do mercado se não houver re­ gras de acesso e bloqueios bem definidos, escritos e divulgados a todos na organização, ou ainda o me­ lhor firewall se eu não tiver um processo escrito de toda sua operação e manutenção. Não adianta ter a melhor infraestrutura de TI se não houver pessoas treinadas para fazer o uso correto do recurso tecnoló­ gico, como também conscientizadas sobre as razões que levaram a empresa a definir quais sites são per­ mitidos e quais são proibidos, por que não posso ou­ vir rádio online enquanto trabalho, por que fulano pode acessar o Facebook e o Twitter e eu não posso ou ainda por que eu não posso conectar o meu pen­ drive e um simples estagiário do departamento de TI pode? Nós que trabalhamos fornecendo soluções para gestão e segurança da informação devemos alinhar o discurso aos nossos clientes de que não importa a marca do firewall, o fabricante de antivírus ou a solu­ ção de monitoramento de rede sem o apoio de proce­ dimentos de operação bem escritos e analistas técnicos capacitados a administrar a ferramenta. Também não devemos nos esquecer dos usuários, pois estes são a razão de todo este investimento. E como fazemos isso? Ouvindo todas as partes através da formação de um comitê, onde setores es­ tratégico da organização sejam representados pelo seus gestores de forma que nenhum controle interfira nas atividades de seu departamento e que nenhuma decisão seja tomada de forma unilateral. Todos de­ vem ser corresponsáveis pelas regras criadas, caben­ do a TI somente a tarefa adicional de aplicá­las com os devidos recursos tecnológicos. É óbvio que isso não é uma tarefa fácil e muito menos rápida de ser aplicada, porém se continuarmos ignorando a tríade Ferramentas, Processos e Pesso­ as, podemos esquecer a possibilidade de um dia ver

TI como um departamento modelo a ser seguidos pe­ los demais em uma PME.

Roberto Henrique
Roberto Henrique é Analista de Se­ gurança da Informação na ABCTec, com 14 anos de experiência na área de TI (Suporte, Gestão, Consulto­ ria), especializado em análise de vulnerabilidades e no tratamento de incidentes de segurança da infor­ mação. Formado em Análise e De­ senv. de Sistemas, possui as certificações ISFS® ISO/IEC 27002 Certified, D­Link DBC, F­Secure Certified Sales Pro­ fessional – FCSP, Microsoft MCP/MCDST. Membro do Co­ mitê Técnico ABNT/CB21:CE27 sobre Segurança daInformação e membro do Núcleo de TI do CIESP – São Bernardo do Campo. Email: roberto@abctec.com.br Site: www.abctec.com.br

|27

Maio 2012 • segurancadigital.info

IDS/IPS onde utilizar?

A

preocupação com a segurança e a integridade do ambiente corporativo é cada vez maior entre os gestores de TI. Com o crescente aumento dos ataques e o grande número de vulnerabilidades existentes, há cada vez mais a necessidade de utilizar dispositivos que auxiliem na proteção do ambiente.

Dentre os diversos dispositivos existentes no mer­ cado, pode­se utilizar um IDS (Intrusion Detection System) – sistema de detecção de intrusão, ou um IPS (Intrusion Prevention System) ­ sistema de pre­ venção de intrusão. Conceitualmente, a atuação destes equipamentos subdivide­se em: NIDS (Network IDS) e HIDS (Host IDS), onde suas características resumem­se em prote­ ção de rede e proteção de host respectivamente. Entretanto, após dispender tempo e dinheiro para adquirir uma solução de IDS/IPS, podem ocorrer dú­ vidas, como qual o melhor ponto para instalar o equi­ pamento de maneira a proporcionar uma melhor proteção ao ambiente? Esta questão é muito particular e depende de al­ guns fatores como: características da rede, custo, tipo de proteção, etc. Algumas sugestões são apresentadas de acordo com o nível de proteção, vantagens e desvantagens:

1­ IPS na borda da rede: Nesta opção o IPS é instalado logo após o ro­ teador de borda e antes do firewall da rede. A vanta­ gem é que o mesmo atua antes do tráfego chegar ao Firewall, protegendo todo o ambiente. A desvanta­ gem é que sem a proteção do firewall, o IPS está su­ jeito a um ataque direto ao próprio dispositivo, sem qualquer filtro. É fato que este é o propósito do equi­ pamento, mas um ataque massivo pode indisponibili­ zar o mesmo e consequentemente inviabilizar o acesso externo da rede. Outro ponto importante, é que neste cenário, o equipamento, se mal configura­ do, pode gerar alertas do tipo falso­positivo e blo­ quear tráfego “limpo”. Além disso, seus logs podem gerar grande volume de dados tendo em vista todo o tráfego que o mesmo recebe e inspeciona, também pelo mesmo motivo pode ocorrer latência no tráfego.

A Figura 1 mostra esta sugestão de uso.

|28

Maio 2012 • segurancadigital.info

ARTIGO Segurança Digital

Figura 1 - IPS na borda da rede

2­ IPS após o firewall: Neste cenário, o IPS é utilizado após o firewall do ambiente. Dessa forma tem o propósito de inspecio­ nar o tráfego interno da rede de modo a detectar ata­ ques internos e o uso abusivo da rede por parte dos usuários. O mesmo fica protegido pelo firewall, po­ rém o próprio firewall fica sujeito a um ataque exter­ no direto, apontando uma desvantagem de uso em relação à sugestão anterior. Salienta­se que nesta op­ ção de implementação, pode ocorrer uma redução de alertas do tipo falso­positivo devido ao tráfego ser filtrado antes pelo firewall e, consequentemente, iso­ lamento da rede externa, praticamente inviabilizando ataques externos diretos ao equipamento, maior van­ tagem deste cenário. A figura 2 apresenta este mode­ lo de uso.

alertando sobre tentativas de ataques, mas também tomando ações de bloqueio das mesmas. Uma maneira simples de entender o funcio­ namento de um IDS/IPS, é utilizar os conceitos de falha, erro e defeito para explicar. O IDS conhece a falha (vulnerabilidade), detecta o erro (ataque) e alerta da possibilidade de ocorrer um defeito. Já o IPS, conhece a falha (vulnerabilidade), detecta o erro (ataque) e impede o mesmo, evitando assim um de­ feito. A figura 3 mostra uma sugestão de uso concor­ rente das tecnologias descritas neste artigo.

Figura 3 - Uso concorrente de IPS e IDS no ambiente

O uso de ambas as tecnologias está diretamente ligado à relação custo benefício para determinar qual ou quais dispositivos utilizar. Para alcançar o nível de proteção desejado, é necessária uma análise de custo, de risco e de necessidade de proteção, para de­ finir a melhor topologia a adotar, garantindo assim a integridade do ambiente. “Gostaria de agradecer o apoio da minha família em especial da minha querida esposa, que sempre me apoiaram incondicionalmente para alcançar meus objetivos”

Figura 2 – IPS interno na rede

Porque até este ponto, ainda não foi citado o uso de um IDS para proteção do ambiente, como está presente no título do artigo? A resposta é simples: não é errado o uso con­ corrente das duas tecnologias na rede, pois não há restrição operacional para uso de ambos. Como um IDS apenas apresenta as tentativas de invasão através de alertas, onde seu método de trabalho é “outline”, realizando um processo de sniffer, escutando o tráfe­ go da rede, seu uso pode ser em qualquer ponto da mesma. Diferentemente, do IPS que tem um propósi­ to mais abrangente, atuando de forma mais completa, com um método de trabalho “inline”, onde o tráfego necessariamente passa pelo equipamento, não apenas

Augusto Pannebecker Fernandes
Técnico em Eletrônica e Informática Industrial, superior em Análise e De­ senvolvimento de Sistemas, pós­gra­ duando em Especialização em Segurança da Informação 18 anos de experiência na área de TI atualmente atuando em Suporte de Redes/Tele­ com, Administrador de IDS/IPS, Analista e consultoria de segurança. Email: augustopan@gmail.com Twitter: @AugustoPan

|29

Maio 2012 • segurancadigital.info

Mapeamento de redes com nmap

ferramenta de código aberto com diversas funcionalidades
Introdução
O nmap (reduzido de “Network Mapper”) é uma ferramenta livre, de código aberto, utilizada para ma­ peamento de redes e inclui diversas funcionalidades como: varredura de portas, detecção de versão de ser­ viços, identificação remota de sistemas operacionais (OS fingerprinting), etc. Esta ferramenta foi criada por Gordon “Fyodor” Lyon, que ainda hoje participa ativamente do desenvolvimento da mesma. O nmap é uma ferramenta versátil que é muito utilizada, entre outros, em auditorias teste de invasão, teste em fi­ rewalls e testes de conformidade. O nmap, em geral, opera nas camadas de rede e transporte. Entretanto, também é capaz de manipular dados da camada de enlace (endereças MAC e requi­ sições ARP, por exemplo) e de interpretar dados da camada de aplicação para inferir informações interes­ santes a respeito de seu alvo (versões de serviços e sistemas operacionais, por exemplo). A versão mais nova do nmap por ser obtida atra­ vés do site oficial [1]. Informações adicionais às apresentadas neste artigo podem ser encontradas na documentação oficial [2] ou no livro de autoria do próprio Fyodor dedicado à ferramenta [3], que inclu­ sive tem uma versão traduzida em português (pt­BR) [4]. Parte deste livro está disponível gratuitamente na Internet para leitura e consulta [5]. Nos exemplos de alvo apresentados neste artigo, são utilizados apenas faixas de endereços IP privados definidos na RFC 1918 [6], a saber 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16, e o endereço scanme.nmap.org, que é um host preparado pelos próprios desenvolvedores da ferramenta para receber este tipo de varredura. Os leitores são encorajados a não executar varreduras sobre qualquer ativo que não seja de sua propriedade ou que se tenha autorização formal para isso.

Especificação de Alvos
Antes de iniciar uma varredura, seja esta muito simples ou extremamente complexa, é preciso dizer ao nmap quais são os alvos desta varredura. O nmap define como alvos válidos endereços IP, faixas de endereços IP ou nomes de domínio dispostos em lista e separados por caracteres de espaçamento (espaço, tab, nova linha, etc). Estes alvos podem ser passados como parâmetro na linha de comando ou em um ar­ quivo (pela opção '­iL arquivo_alvos.txt'). Assim, quando o alvo é um endereço IP único, es­ te deve ser especificado como quatro números intei­ ros positivos, entre 0 e 255, separados por pontos. São exemplos de endereços IP únicos: 172.28.1.101 192.168.0.1. Quando o alvo é uma faixa de endere­ ços IP, este deve ser especificado com duas sintaxes
Maio 2012 • segurancadigital.info

|30

ARTIGO Segurança Digital

distintas. A primeira delas consiste do par endereço da rede e sua máscara de sub­rede. São exemplos de pares endereço da rede e máscara de sub­rede: 10.20.0.0/16 172.16.1.32/27. A outra sintaxe aceita consiste de um endereço IP com listas de números se­ parados por vírgulas ou intervalos especificados com hífen. São exemplos de endereço IP com listas de nú­ meros ou intervalos: 10.0.0.0­255 172.16.1,3,5,0­127 (equivalente a 172.16.1.0­127 172.16.3.0­127 172.16.5.0.127). Finalmente, quando o alvo é um no­ me de domínio, este deve ser especificado por sequências de caracteres quaisquer separadas por vír­ gulas. São exemplos de nomes de domínio: scanme.nmap.org e www.seginfo.com.br.

"Quickstart"
A forma mais simplista de executar a varredura utilizando o nmap é executar a ferramenta sem parâ­ metros sobre o alvo especificado. Esta varredura con­ siste de todas as opções padrão tanto de descoberta quanto de varredura. nmap scanme.nmap.org Esta varredura verifica se o alvo está ativos na re­ de utilizando o método de descoberta e faz a varredu­ ra utilizando o método de varredura padrão. O resultado esperado de uma varredura como esta é: 1. Verificação de atividade do alvo na rede; e 2. Listagem de portas abertas, fechadas e filtradas associadas ao nome do serviço que tradicionalmente utiliza cada porta, caso o alvo esteja ativo. Isto quer dizer que se um determinado serviço es­ tiver sendo provido em uma porta diferente da que tradicionalmente é utilizada, o nmap fornecerá uma resposta incorreta sobre o serviço. Isto quer dizer que, por exemplo, se um servidor ssh, que tradicio­ nalmente utiliza a porta 22, for configurado para pro­ ver o serviço na porta 80, tradicionalmente utilizada por servidores http, nesta varredura o nmap detectará um servidor http e não um ssh, como esperado. Nas próximas seções, “Descoberta de hosts” e “Técnicas de Varredura de portas” respectivamente, é discutido do que consistem estes método de desco­ berta e de varredura padrão.

ria de segurança ou projeto de mapeamento de rede é reduzir uma grande faixa de endereços IP a uma lista de endereços de interesse. Este interesse pode variar dependendo do propósito da varredura. Em uma au­ ditoria teste de invasão caixa preta, o auditor se inte­ ressa por qualquer host que esteja ativo na rede, enquanto em um auditoria em aplicações web, o au­ ditor se interessa somente nos hosts que provejam serviços web. Assim, para cada propósito distinto há uma forma diferente realizar a descoberta de hosts. O nmap fornece diversas opções a fim de perso­ nalizar a descoberta de hosts para que esta se adeque aos propósitos da varredura. Estas opções serão dis­ cutidas a seguir. Primeiramente, pode ser interessante não fazer a descoberta de hosts. Isto ocorre quando a varredura compreende um único endereço alvo, ou quando já se sabe que os alvos estão ativos na rede. Para estes ca­ sos, podem ser utilizadas as opções “List scan” (­sL) ou “No Ping” (­PN) como exemplificadas nos exemplos a baixo: nmap ­sL 10.0.0.0/24 nmap ­PN 10.0.0.0/24 O “List scan” diz ao nmap que a varredura con­ siste apenas em listar os alvos passados como parâ­ metro, embora o nmap ainda faça uma consulta DNS (reversa, no caso de alvos especificados como ende­ reços IP) sobre os alvos. Portanto no caso do “List scan” nenhuma varredura ativa é realizada sobre os alvos especificados. No caso do “No Ping”, o nmap pula a faze de descoberta completamente. Versões mais antigas do nmap apontarão a opção “­P0” para o “No Ping”, mas esta opção é considerada obsoleta, apesar de ainda funcionar nas versões atuais do nmap, e, a título de curiosidade, esta opção foi modi­ ficada por ser frequentemente confundida com o “IP Protocol Ping” (­PO). No exemplo dado acima, o nmap ainda faria a varredura utilizando o método de varredura padrão sobre os alvos especificados. A única situação em que o nmap não se comportaria desta forma acontece quando os alvos especificados estão na mesma rede que o host que faz a varredura. Neste caso, o nmap faria um “ARP Ping”, ignorando a opção do “No Ping”. Uma vez que se queira fazer uma descoberta de hosts, esta deve ser ativada com a opção “­sP”. Quando esta opção esta ativada, o nmap não realiza varreduras, mas apenas realiza a descoberta de hosts,
Maio 2012 • segurancadigital.info

Descoberta de Hosts
Frequentemente, o primeiro passo de uma audito­

|31

ARTIGO Segurança Digital

se não houverem outras opções comandando que a varredura seja feita. Neste caso, o nmap utiliza o mé­ todo de descoberta de hosts padrão, que é o “ARP Ping” (­PR) para alvos localizados na rede interna e o “ICMP Echo Ping” (­PE) para os demais. O “ARP Ping” (­PR) é sempre o método de desco­ berta de hosts escolhido pelo nmap quando o alvo en­ contra­se na mesma rede que o host de onde a ferramenta é executada. Mesmo que outro método de descoberta de host seja explicitamente especificado o nmap irá realizar o “ARP Ping” sobre endereços da rede interna. Para forçar o nmap a utilizar outro mé­ todo de descoberta de hosts sobre endereços na rede interna é necessário utilizar a opção adicional “­­ send­ip”. Outro adendo importante é que esta opção não funciona nos sistemas da família Microsoft Win­ dows, pois os mesmo não oferecem suporte a sockets brutos (não vinculados a protocolos). Assim, consi­ derando que a faixa de endereços IP 192.168.1.0/16 seja a rede interna, os comandos abaixo são equiva­ lentes: nmap ­sP 192.168.1.0/16 nmap ­sP ­PR 192.168.1.0/16 O “ICMP Echo Ping” (­PE) é o método de desco­ berta padrão para endereços que não estão localiza­ dos na mesma rede que o host de onde a ferramenta é executada. Este método faz parte da família de méto­ dos “ICMP Ping”, que ainda inclui os métodos “ICMP Timestamp Ping” (­PP) e “ICMP Address Mask Ping” (­PM). Todos estes métodos funcionam de maneira semelhante, pois detectam a atividade em um host pelo envio de pacotes ICMP de diferentes ti­ pos. Assim como os comandos abaixo também são equivalentes para a rede externa: nmap ­sP scanme.nmap.org nmap ­sP ­PE scanme.nmap.org Outros métodos de descoberta de hosts interessan­ te são o “TCP SYN Ping” (­PS lista_de_portas) e o “UDP Ping” (­PU lista_de_portas). Estes métodos são úteis, pois alguns hosts podem não respondem re­ quisições ICMP, seja por restrições no firewall ou do próprio sistema operacional. Assim, estes métodos de descoberta enviam pacotes TCP ou UDP a uma porta que pode estar aberta ou fechada. Se a porta estiver aberta, o host certamente irá responder, denunciando a atividade do host. No entanto, se a porta estiver fil­

trada, nenhuma resposta será enviada (bloqueada pe­ lo mesmo firewall que impediu descoberta via ICMP). Assim, a desvantagem destes métodos, além de serem mais lentos que o “ARP Ping” e o “ICMP Ping”, está na escolha das portas utilizadas, pois se todas as portas escolhidas estiverem filtradas, não será possível detectá­lo, ainda que o host esteja ativo. São exemplos de descobertas de host por “TCP SYN Ping” e “UDP Ping”: nmap ­sP ­PS22,80,443 scanme.nmap.org nmap ­sP ­PU53,631 scanme.nmap.org

Varredura de Portas
Esta seção trata da principal funcionalidade do nmap, a varredura de portas. Mesmo quando estava em suas primeiras versões, o nmap sempre foi capaz de fazer a varredura de portas de forma rápida e efi­ ciente. O nmap fornece diversos métodos para reali­ zar varreduras de portas e a escolha de qual método utilizar depende do objetivo que se pretende atingir. Varreduras de portas podem ter por objetivo detectar serviços providos por um host alvo, verificar se um firewall está filtrando requisições de forma adequada ou ainda confirmar se a pilha TCP foi implementada conforme especificado na RFC 793 [7]. É importante frisar que embora hajam diversos métodos de varre­ dura de portas disponíveis, só é possível utilizar um por vez. Outro adendo importante é que a maioria dos métodos de varredura de portas exige altos privi­ légios de usuário. Isto é necessário, pois algums pa­ cotes são veiculados por sockets brutos (não vinculados a protocolos) que exigem este tipo de pri­ vilégios. Outra parte importante na varredura de portas é a listagem de portas (­p). A listagem de portas a serem consideradas separadas por vírgulas e, assim como as faixas de endereços IP, é possível especificar faixas de portas utilizando um hífen. As podem ser associa­ das a um protocolo manualmente ou automaticamen­ te pelo nmap dependendo do contexto da varredura. Quando os protocolos são especificados manualmen­ te, a listagem de portas é sempre precedida por uma letra que identifica o protocolo utilizado (‘T’ para TCP e ‘U’ para UDP) e quando são especificados au­ tomaticamente, basta informar a listagem de portas. Também é possível se utilizar todas as portas através da opção “­p­” ou limitar por uma determinada quan­ tidade de porta mais utilizadas através da opção “­­ top­ports qtd_portas” e se esta quantidade for 100 é
Maio 2012 • segurancadigital.info

|32

ARTIGO Segurança Digital

possível utilizar o “Fast Scan” (­F), que é equivalente a “­­top­ports 100”. Assim, são exemplos de listagem de portas: ­p22­25,80,443; ­pT:22,80,U:53,631. A varredura de portas sempre é feita para cada execução do nmap, exceto para o caso do “Ping Scan” (­sP), quando é necessário escolher um método de varredura de portas para que esta seja executada. Quando nenhum método de varredura de portas é ex­ plicitamente especificado, o nmap executa o “TCP SYN Scan”, caso tenha sido executado por um usuá­ rio com privilégio de criar sockets brutos (não vincu­ lados a protocolos), e o “TCP Connect Scan”, caso contrário. O “TCP SYN Scan” (­sS) é considerado pelos de­ senvolvedores da ferramenta como o método de var­ redura de portas mais popular. Esta varredura consiste em enviar pacotes TCP com a flag SYN ati­ vada para as portas alvo. Esta flag é ativada para se iniciar uma nova conexão TCP entre os hosts, no en­ tanto o nmap não completa o processo de abertura da conexão (“Three­Way Handshake”, explicado na se­ ção 3.4 da RFC 793 [7]) e por isto é considerado um método bem furtivo e difícil de se detectar. Nesta varredura, uma porta é considerada aberta se a res­ posta recebida for um pacote com as flags SYN e ACK ativadas. Se a resposta for um pacote com a flag RST ativada a porta é classificada como fechada e se nenhuma resposta for recebida, a porta é classifi­ cada como filtrada. Assim, considerando que a faixa de endereços IP 192.168.1.0/16 seja a rede interna, os comandos abaixo são equivalentes (considerando que um usuário privilegiado esta executando as varredu­ ras): nmap 192.168.1.0/16 nmap ­sP ­sS 192.168.1.0/16 nmap ­sP ­PR ­sS 192.168.1.0/16 De forma semelhante, os comandos abaixo tam­ bém são equivalentes para a rede externa: nmap scanme.nmap.org nmap ­sP ­sS scanme.nmap.org nmap ­sP ­PE ­sS scanme.nmap.org O “TCP Connect Scan” (­sT) funciona de forma muito semelhante ao “TCP SYN Scan”. Esta varredu­ ra consiste em tentar criar conexões entre os hosts na porta alvo. Isto é feito através da execução completa do Aperto de Mão em Três Vias (“Three­Way

Handshake”, explicado na seção 3.4 da RFC 793 [7]) executado pela chamada de sistema “connect()” [8]. Este método de varredura de portas é mais lento e menos furtivo que o “TCP SYN Scan”, pois a cone­ xão é, de fato, estabelecida, no entanto, por usar a chamada de sistema, esta varredura pode ser executar por um usuário sem privilégios. Nesta varredura, uma porta é considerada aberta se a conexão for es­ tabelecida com sucesso. Se a conexão for rejeitada a porta é classificada como fechada e se o tempo limite para estabelecer a conexão expirar, a porta é classifi­ cada como filtrada. Assim, considerando que a faixa de endereços IP 192.168.1.0/16 seja a rede interna, os comandos abaixo são equivalentes (considerando que um usuário sem privilégios esta executando as varre­ duras): nmap 192.168.1.0/16 nmap ­sP ­sT 192.168.1.0/16 nmap ­sP ­PR ­sT 192.168.1.0/16 De forma semelhante, os comandos abaixo tam­ bém são equivalentes para a rede externa: nmap scanme.nmap.org nmap ­sP ­sT scanme.nmap.org nmap ­sP ­PE ­sT scanme.nmap.org Outros métodos de varredura de portas sobre o protocolo TCP interessante são o “TCP ACK Scan” (­sA), “TCP NULL Scan” (­sN), o “TCP FIN Scan” (­sF) e o “TCP Xmas Scan” (­sX). Estes métodos são úteis, pois permitem explorar falhas de configuração de um firewall stateless ou roteador que filtre paco­ tes, que estejam dificultando uma varredura direta. Estas varreduras enviam pacotes TCP com a flag ACK ativada para o “TCP ACK Scan”, com nenhu­ ma flag ativada para “TCP NULL Scan”, com a flag FIN ativada para o “TCP FIN Scan” e, finalmente, as flags FIN, PSH e URG ativadas para o “TCP Xmas Scan”. Estas varreduras, em geral, são executadas para agregar informação a outras varreduras já exe­ cutadas, visto que nem sempre oferecem resultados confiáveis. Isto acontece, pois nem todos os sistemas operacionais implementam sua pilha TCP em confor­ midade com a RFC 793 [7] e respondem de maneiras inesperadas a requisições como as utilizadas para es­ te tipo de varredura. Outro adendo importante é que as soluções mais modernas de IDS/IPS são capazes de detectar e bloquear este tipo de varredura, tornan­
Maio 2012 • segurancadigital.info

|33

ARTIGO Segurança Digital

do­as ineficazes. São exemplos deste tipo de varredu­ ra: nmap ­PN ­sN ­p­ 172.17.16.1 nmap ­sX ­p21­25,53,80,443 192.168.1.0/24 nmap ­sP ­PP ­sA ­­top­ports scanme.nmap.org

512

Existem também métodos de varredura de portas sobre outros protocolos além do TCP. A varredura so­ bre o protocolo UDP é chamada “UDP Scan” (­sU). Esta é a única varredura que pode ser executada si­ multaneamente com outras. Diferentemente das ou­ tras varreduras, um pacote UDP vazio é enviado para a porta alvo. Uma porta é considerada aberta se um pacote UDP de qualquer espécie for recebido. Se um pacote “ICMP Port Unreachable” (ICMP tipo 3, códi­ go 3) for recebido, se um pacote “ICMP Destination Unreachable” (ICMP tipo 3, qualquer código) de qualquer código diferente de 3 for recebido, a porta é classificada como filtrada e se nenhuma resposta for recebida, a porta é classificada como aberta ou filtra­ da. Maiores informações sobre os protocolos UDP e ICMP e seus tipos e códigos podem ser encontradas nas RFC 768 [9], 792 [10] e Registro de Parâmetros do ICMP disponibilizado pela IANA [11], respectiva­ mente. São exemplos deste tipo de varredura: nmap ­sP ­sU ­F scanme.nmap.org Há também a varredura sobre o protocolo SCTP, chamada “SCTP INIT Scan” (­sY). O SCTP é um protocolo que combina características tanto do TCP quanto do UDP e introduz novas funcionalidades co­ mo multi­homing e multi­streaming. Maiores infor­ mações sobre o SCTP podem ser encontradas nas RFC 3286 [12] e 4960 [13]. Quanto a varredura SCTP, ela é muito similar à “TCP SYN Scan”, pois nunca completa a associação SCTP e é relativamente furtiva e pouco intrusiva. São exemplos deste tipo de varredura: nmap ­PN ­sY ­p­ 172.17.16.1

um serviço detectado do que somente a porta em que este está sendo executado, uma vez que estes servi­ ços podem ser executados em, virtualmente, qualquer porta. Sendo assim, o nmap fornece uma opção para aferir o serviço e a versão do software provendo este serviço através da opção “­sV”. Esta opção tenta ob­ ter, através do envio de pacotes construídos com este propósito, descobrir qual serviço está sendo provido de fato e sua versão aproximada. Vale ressaltar que se o nmap for compilado com suporte a OpenSSL, a ferramenta tentará aferir serviço provido e sua versão aproximada mesmo com a camada extra de cripto­ grafia. Maiores informações sobre a detecção da ver­ são de serviços e aplicações podem ser encontradas no capítulo 7 do livro do próprio autor da ferramenta, disponibilizado gratuitamente em [14]. nmap ­sP ­sS scanme.nmap.org ­sV ­­top­ports 256

Assim como são publicadas vulnerabilidades para serviços providos em uma rede, o mesmo é acontece com sistemas operacionais, portanto também é im­ portante detectar qual sistema é executado por uma alvo na rede. O nmap também fornece uma opção para aferir o sistema operacional e sua versão apro­ ximada através da opção “­O”. Esta operação tam­ bém é conhecida como “OS Fingerprinting”. Esta opção tenta obter, através do envio de pacotes cons­ truídos com este propósito, descobrir qual sistema operacional está sendo executado e sua versão apro­ ximada. Maiores informações sobre a detecção re­ mota do sistema operacional podem ser encontradas no capítulo 8 do livro do próprio autor da ferramenta, disponibilizado gratuitamente em [15]. nmap ­sP ­sS ­sV ­O ­p­ scanme.nmap.org

Conclusão
O nmap é uma ferramenta que oferece uma gama de opções úteis e é de grande valia para obtenção de informação para diversas atividades, como auditorias de segurança em geral, mapeamento de redes intei­ ras, teste em firewalls, etc. Este artigo discutiu ape­ nas as funcionalidades principais, no entanto ainda há muitas outras que não foram, se quer, menciona­ das, como: o Nmap Scripting Engine (NSE), opções de controle de desempenho, opções de evasão de fi­ rewalls/IDS/IPS, opções de spoofing, e muitas ou­ tras. O leitor é encorajado a buscar mais informações
Maio 2012 • segurancadigital.info

Detecção de Serviço, Versão e Sistema Operacional
As vulnerabilidades publicadas em entidades es­ pecializadas, em geral, são eficazes somente sobre determinadas versões de uma dada aplicação. Assim, é interessante obter uma leitura mais específica sobre

|34

ARTIGO Segurança Digital

na documentação oficial [2], no livro oficial [3] [4] [5] e outras fontes, como o Webinar #4 da Clavis so­ bre "NMAP – Software Livre para Exploração de Re­ de e Auditorias de Segurança" [16]. Vale mencionar que, apesar de não haver legisla­ ção especifica que tipifique como crime o ato de exe­ cutar varreduras de qualquer tipo em redes de qualquer espécie, o objetivo deste artigo não é incen­

tivar os leitores a fazer varreduras aleatórias em re­ des que não são de sua propriedade ou que não se tenha autorização para fazê­lo, mas informar quanto a que tipo de informação relevante pode ser extraída destas varreduras e como estas podem ajudar em au­ ditorias teste de invasão, depuração de firewalls ou administração de servidores, etc.

Referências
[1] Nmap ­ Free Security Scanner For Network Exploration & Security Audits: http://nmap.org/ [2] Nmap Official Documentation: http://nmap.org/docs.html [3] Nmap Network Scanning, Gordon “Fyodor” Lyon, Insecure.com LCC Publishings. ISBN: 978­0979958717 [4] Exame de Redes com NMAP, Gordon “Fyodor” Lyon, Editora Ciência Moderna. ISBN: 978­8573938654 [5] Nmap Network Scanning, Gordon “Fyodor” Lyon, http://nmap.org/book/toc.html [6] RFC 1918 ­ Address Allocation for Private Internets: http://tools.ietf.org/html/rfc1918 [7] RFC 793 ­ Transmission Control Protocol: http://tools.ietf.org/html/rfc793 [8] Linux Man Pages ­ Section 2 (System Calls) ­ connect(): http://linux.die.net/man/2/connect [9] RFC 768 ­ User Datagram Protocol: http://tools.ietf.org/html/rfc768 [10] RFC 792 ­ Internet Control Message Protocol: http://tools.ietf.org/html/rfc792 [11] Internet Control Message Protocol (ICMP) Parameters Registry: http://www.iana.org/assignments/icmp­ parameters/icmp­parameters.xml [12] RFC 3286 ­ An Introduction to the Stream Control Transmission Protocol: http://tools.ietf.org/html/rfc3286 [13] RFC 4960 ­ Stream Control Transmission Protocol: http://tools.ietf.org/html/rfc4960 [14] Nmap Network Scanning, Gordon “Fyodor” Lyon, Chapter 7. Service and Application Version Detection. http://nmap.org/book/vscan.html [15] Nmap Network Scanning, Gordon “Fyodor” Lyon, Chapter 8. Remote OS Detection. http://nmap.org/book/osdetect.html [16] Webinar #4 – NMAP – Software Livre para Exploração de Rede e Auditorias de Segurança http://www.blog.clavis.com.br/webinar­4­software­livre­para­exploracao­de­rede­e­auditorias­ de­seguranca/

Rafael Ferreira, Henrique Soares, Bruno Salgado e Jarcy Azevedo
Email: contato@seginfo.com.br Blog: http://www.seginfo.com.br Twitter: @rafaelsferreira, @hrssoares, @salgado_bruno e @jarcyjr

|35

Maio 2012 • segurancadigital.info

PSI – Politica de Segurança da Informação

Introdução
Com o atual crescimento e expansão do uso de re­ cursos tecnológicos e computacionais, as corpora­ ções mostram a necessidade de um padrão definido por regras e procedimentos para o uso dos mesmos afim de manter o controle e o monitoramento, visan­ do otimizar o investimento em tecnologia e evitar gastos desnecessários devido ao uso indevido dos ati­ vos de TI e acesso a informações não permitidas. De­ tectar vulnerabilidades do ambiente tecnológico e criar ações para eliminá­las são alguns dos atuais de­ safios dos profissionais ligados à área de segurança da informação. Neste artigo vou descrever como formular e im­ plementar uma política de segurança da informação de forma simples e eficiente para mantermos o con­ trole a um nível adequado visando proteger os recur­ sos da corporação de forma a termos um ambiente menos vulnerável e consequentemente mais seguro e produtivo, mantendo os usuários informados sobre a politica de segurança da informação. Disseminar a política de segurança da informação é essencial, pois através dela estabelecemos padrões, responsabilidades e critérios para o manuseio, arma­ zenamento, transporte e descarte das informações. Cada política é personalizada para cada caso, pois te­

mos ambientes, recursos, pessoas e ações diferentes para cada modelo de negócio.

Política de Segurança da Informação (PSI)
O que é “isso” e para que serve? Esse é um tema bastante polêmico no cenário em­ presarial, onde temos corporações que independentes do tamanho e porte, utilizam cada vez mais os recur­ sos tecnológicos como um diferencial para agiliza­ rem e ganhar eficiência nos processos, mas que se não forem utilizados de maneira controlada, acarre­ tam em desperdício de tempo, dinheiro, credibilidade e reputação no mercado devido à falta de um conjun­ to de regras e padrões sobre o que deve ser feito para assegurar que as informações e serviços importantes para a empresa recebam a proteção necessária de for­ ma a garantir os três princípios básicos da segurança da informação: confidencialidade, integridade e dis­ ponibilidade, chamada de Política de Segurança da Informação (PSI). Sua função básica consiste em estabelecer pa­ drões, responsabilidades e critérios, para o correto funcionamento da rotina empresarial. É extremamen­ te recomendável a criação da política antes da ocor­ rência do(s) primeiro(s) incidentes relacionados à

|36

Maio 2012 • segurancadigital.info

ARTIGO Segurança Digital

segurança da informação. Ela pode ser usada para documentar o processo de controle de qualidade e também para evitar problemas legais com o mau uso dos recursos disponíveis. Devido a sua abrangência ela é subdividida em três blocos designados: diretrizes, normas, procedi­ mentos e instruções, sendo destinadas às áreas estra­ tégica, tática e operacional. A importância de expressar o valor que a empresa atribui para suas in­ formações e disseminação da cultura organizacional são partes das diretrizes, o que é algo bem estratégi­ co, conforme mencionado anteriormente. Quando entramos na subdivisão tática, estamos li­ gados diretamente às normas, detalhamento de ambi­ entes, situações, processos e orientações para o uso adequado do que a empresa tem de maior valor, a in­ formação. Para uma maior eficiência deve ser basea­ da na versão mais atual da BS 7799 ou ISO 27001. A parte de procedimentos e instruções deverá conter o maior número de situações possíveis com o a ação correta em determinada situação.

Informativa: Possui caráter informativo. Nenhu­ ma ação é desejada e não existem riscos, caso não seja cumprida. Características básicas: ­ Pode contemplar observações importantes e advertências severas, o item mais importante da PSI é a especificação, que deve ser breve, vocabu­ lário simples, e formalizar o que é esperado dos funcionários na utilização dos recursos tecnológi­ cos. Deve ser bem completa e suficiente para saber se aplicáveis para eles ou não. Agora que temos a definição básica da nossa PSI, precisamos saber o que proteger e até onde a política de segurança da informação tem a sua abrangência. Para isso precisamos levar em conta alguns elemen­ tos do nosso ambiente, como Hardware, Software, Informação, Acesso Físico e a Documentação do am­ biente a ser coberto. Podemos citar alguns: ­ Hardware: servidores, estações, switches, im­ pressoras, roteadores ­ Software: sistemas operacionais, editores de texto, planilhas, mensageiros. ­ Informação: armazenamento, manuseio, des­ carte, backup, logs. ­ Acesso físico: entrada em ambientes críticos, câmeras, roletas, crachás. ­ Documentação: todos os itens anteriores e ex­ tras pertinentes à organização. Com base no levantamento acima precisaremos saber de quem proteger estes elementos. Abaixo mostramos uma tabela simples e básica como exem­ plo: Propriedade Intelectual – Atribuição de fontes de informação A informação é um bem da empresa. Armazenamento, salva e descarte de dados. Salva: o quê, quando, como, frequência e perio­ dicidade da revisão. Armazenamento: on­site ou off­site? Período? Recuperação? Incidentes – Determinar de quem é a responsa­ bilidade Notificação a órgãos responsáveis e autorida­ des. Penalização perante as leis e investigações de evidências (Forense).
Maio 2012 • segurancadigital.info

PSI – Tipos de Politica
O tipo de política varia de acordo com o modelo de negócios e intenção do controle e punição no des­ cumprimento da mesma. Podemos citar três tipos mais conhecidos: Regulatória: É definida como se fosse uma série de especificações legais. É implementada devido ás necessidades legais que são impostas à organização. Características básicas: ­ Prover conforto à organização na execução de suas atividades; ­ Assegurar que a organização está seguindo os procedimentos e normas padrões para o ramo em que ela atua. Consultiva: Apenas sugere quais ações e métodos devem ser utilizados para a realização de uma deter­ minada tarefa ou atividade. Características básicas: ­ Falhas no processo de comunicação com a Al­ ta Administração; ­ Perda de prazos de compromissos importan­ tes; ­ Aumento da possibilidade de omissão de in­ formações importantes para a tomada de decisões críticas.

|37

ARTIGO Segurança Digital

Acima temos alguns itens nesse vasto levantamen­ to que terá que ser criado.

ma modificação.

Dificuldades na Implementação
Em uma nova organização temos a noção de que a implementação ocorre de maneira simples e “silenci­ osa”, pois novos funcionários assumirão estas res­ ponsabilidades e estarão cientes da política desde o primeiro dia de expediente tendo que assinar o Termo de Concordância das Condições de Uso dos Recursos Computacionais Corporativos, assim assumindo toda a responsabilidade sobre as regras a ele impostas. Em organizações já existentes, onde após analisar­ mos e classificarmos como um ambiente “caótico”, a implementação tende a ser mais complexa e “baru­ lhenta”, devido aos vícios, comodismos, e métodos incorretos de trabalho, o que acaba prejudicando a organização como um todo. A frase abaixo demonstra o item fundamental nessa implementação de modo a superar todas as barreiras que possam retardar ou de­ sativar a implementação da PSI: A política de segurança da informação deve con­ tar como o total comprometimento da alta direção da organização, incluindo a assinatura do mais alto executivo da mesma, explicitando assim o seu total apoio à implementação da política.

Penalidades da violação das políticas de segurança da informação
O estabelecimento e aplicação das punições a to­ dos os funcionários pelo descumprimento da PSI tor­ nam­se necessário com o objetivo de dar respaldo jurídico a organização e como uma forma de incenti­ vo para todos aderirem, isso é claro de acordo com a cultura de cada organização. A seguir temos um ex­ emplo de implementação prática e um termo de acei­ tação da nossa PSI de forma a orientar ao leitor desse artigo e explorar sua criatividade na criação da mes­ ma. Esses documentos devem ser anexados a pasta de dados contratuais de cada funcionário.

P S I – E x e m p l o b á s i c o p a r a u s o n a e m­ presa
Segue abaixo o modelo básico de uma PSI para uso na empresa. A mesma pode ser adaptada para o perfil da corporação em que a mesma for aplicada. NOME OU LOGO DA EMPRESA XXX Política de Uso do Acesso Corporativo à Internet A informação contida neste documento é confi­ dencial e de propriedade da Empresa XXX. Este do­ cumento não é para ser reproduzido ou distribuído fora da Empresa XXX. 1. OBJETIVO Estabelecer regras para o uso apropriado da Inter­ net na empresa XXX. O propósito da empresa em conceder o direito de acesso à Internet aos seus fun­ cionários é, única e exclusivamente, permitir que os mesmos obtenham as informações necessárias ao de­ sempenho das atividades corporativas de modo a atingir os objetivos de negócio da empresa. 2. ÂMBITO Esta política abrange todos os funcionários auto­ rizados a acessar a Internet através da rede corporati­ va da empresa XXX. 3. DEFINIÇÕES Usuários – funcionários da Empresa XXX autori­ zados a acessar a Internet através da rede corporati­ va. Internet – rede mundial de computadores.
Maio 2012 • segurancadigital.info

Publicação e divulgação
Para conseguir a aderência da PSI de forma sin­ cronizada entre os funcionários, é preciso utilizar os mais diversos meios de publicação e divulgação da PSI. Podemos sugerir a elaboração de materiais pro­ mocionais, palestras de conscientização, jornais e fo­ lhetos internos, disponibilizar um manual básico na intranet e internet em locais onde todos possuam acesso, mas que não possam modificar o conteúdo mantendo assim o conceito de integridade e disponi­ bilidade.

Atualização e revisão da PSI
A política deve ser constantemente revisada e atu­ alizada, de forma a cobrir o maior número possível de ativos na organização e objetos de valor ex: infor­ mação, hardware, software etc. A atualização torna­ se importante caso uma norma seja descumprida, ela tem que ser a mais recente e refletir o atual cenário de trabalho da empresa. Costuma­se usar no final da política o controle da versão, autor (es) e data da últi­

|38

ARTIGO Segurança Digital

Intranet – rede corporativa de computadores. Acesso à Internet – inclui, mas não se limita, o acesso a web sites, o envio e recebimento de e­mails, a transmissão e o recebimento de arquivos e a execu­ ção de aplicativos de Internet, através de computado­ res da rede corporativa. 4. POLÍTICA 4.1 USO ACEITÁVEL O acesso à Internet concedido pelo escritório aos seus funcionários tem como objetivo ser utilizado co­ mo ferramenta para auxiliar os usuários na realização das tarefas corporativas diárias e a obter vantagens competitivas relacionadas aos negócios da empresa. A Empresa XXX tem o direito de monitorar e controlar o acesso à Internet a partir da sua rede cor­ porativa. Os usuários não devem ter qualquer expec­ tativa de privacidade no que diz respeito à informação transmitida e/ou recebida através do(s) acesso(s) e recursos corporativos disponibilizados pela organização. Devido à existência na Internet de pessoas e/ou organizações com intenções hostis, os usuários de­ vem estar cientes da importância e da obrigatorieda­ de do correto uso dos requisitos de segurança disponíveis nos recursos corporativos que utilizam. Envolver­se na observação ou na troca de mate­ riais que tenham conteúdo de natureza odiosa, obscena, discriminatória, ofensiva ou visando as­ sédio sexual; Envolver­se em qualquer tipo de negócios pri­ vados para obter lucros ou ganhos pessoais; Envolver­se em qualquer atividade ilegal, in­ cluindo jogos de azar, carregar ou baixar softwares sem a permissão dos detentores de seus direitos de copyright e/ou softwares que estão sujeitos ao con­ trole de exportação de seus países de origem; Interferir intencionalmente nas operações nor­ mais dos equipamentos da rede corporativa com a Internet (gateway de Internet), ou de qualquer ou­ tro site; Acessar materiais não relacionados aos negóci­ os do escritório, tais como o acesso a rádios, a sites que distribuam imagens, áudio e/ou vídeo (strea­ ming vídeo), diários eletrônicos (blogs) e etc. Baixar materiais não relacionados ao desempe­ nho das atividades corporativas, como arquivos de

imagens, áudio e vídeo e/ou programas de uso pes­ soal, mesmo que gratuitos (freewares); Tentar ganhar acesso não­autorizado a outros serviços disponíveis na Internet; Enviar e/ou receber, mesmo que esporadica­ mente, e­mails excessivamente grandes ou mensa­ gens de correntes eletrônicas; Envolver­se em atividades que violem políticas de outras empresas e/ou que possam ser contrárias aos interesses do escritório; Abrir ou baixar arquivos de sites da Internet, grupos de notícias (newsgroups), contas de e­mails externas ou de outras fontes, sem as devidas pre­ cauções para a detecção de vírus; Revelar informações confidenciais ou de pro­ priedade da organização para destinatários não au­ torizados, através de qualquer meio; Transmitir informações confidenciais ou pro­ prietárias para destinatários autorizados, localiza­ dos fora da rede corporativa, sem os devidos cuidados relativos à integridade das informações; Usar o aplicativo de mensagem instantânea cor­ porativo (Messenger), para divulgar informações confidenciais ou de propriedade da organização para destinatários que não sejam usuários da rede corporativa; Divulgar contas, identificadores, senhas de acesso e/ou de usuário ou qualquer outro tipo de identificação corporativa pessoal, com pessoas ou programas localizados fora da rede corporativa.

4.2 USO INACEITÁVEL Os usuários não podem usar seus privilégios de acesso à Internet para: 5. SANÇÕES Qualquer usuário que, comprovadamente, venha a violar a presente política corporativa estará sujeito, dependendo da gravidade da infração, a: Ter seu acesso à Internet restringido ou mesmo cancelado; Ter rescindido o seu contrato de trabalho ou de prestação de serviços; Responder a processo criminal.

|39

Maio 2012 • segurancadigital.info

ARTIGO Segurança Digital

6. CONTROLE DE VERSÃO Versão: 01 Data: 24/04/2010 Autor: PAULO MORAES / Rio de Janeiro Termo de Concordância das Condições de Uso dos Recursos Computacionais Corporativos A informação contida neste documento é confidencial e de propriedade da Empresa XXX. Este do­ cumento não é para ser reproduzido ou distribuído fora da Empresa XXX. Declaro ter lido o documento Política de Uso do Acesso Corporativo à Internet de 03/04/2011, disponíveis na rede interna e im­ presso, e atesto que: Entendi e compreendi completamente o conteúdo das políticas; Estou plenamente ciente de que, em caso de violação das referidas políticas, estarei sujeito a ações disciplinares e legais. Data: __ / __ / 20____ Nome: _________________________________________________ Assinatura: _____________________________________________ IMPORTANTE: Este documento deve ser anexado à pasta corporativa do funcionário.

Referências Bibliográficas
MARTINS, José Carlos Cordeiro – Gestão de Projetos de Segurança da Informação – Editora Brasport FERREIRA, Fernando nicolau Freitas – Segurança da Informação Websites – www.modulo.com.br

Paulo Moraes

É profissional de TI com mais de 10 anos de experiência, com formação em Redes de Computadores e Especialização em Segurança da Informação, possuindo as certificações MCSO (Módulo Security), Security + (Comptia), ISO 27002/ITIL (EXIN) , MCTS e MCSA (Microsoft). Autor do livro Mente Antihacker ­ Proteja­se (Brasport ­ Abr/2011). Atua no mercado como Consultor de Segurança da Informação. E­mail: prg.moraes@gmail.com Twitter: @paulosec

|40

Maio 2012 • segurancadigital.info

A investigação nas nuvens traz novos obstáculos que os profissionais devem ter ciência para um trabalho bem sucedido.

Perícia digital em ambientes de cloud computing
Introdução
A Cloud Computing ou computação nas nuvens já é uma realidade para as empresas que procuram, principalmente, redução de custos com sua infraes­ trutura e garantia de disponibilidade de acesso aos seus serviços localizados em diversos datacenters dispersos geograficamente. Não é mais necessário um investimento alto caso se adote uma solução "nas nuvens", mas deve­se preocupar ainda mais com fa­ tores tais como a segurança, as responsabilidades so­ bre uma fraude, o vazamento de informações, os aspectos legais envolvidos, como e onde buscar por respostas em caso de incidentes; que possuem uma abordagem diferente com relação à infraestrutura convencional. Nosso objetivo aqui é proporcionar a você o entendimento sobre as questões relativas à pe­ rícia digital na cloud computing e os fatores impor­ tantes que dão um toque particular neste novo cenário. A forense digital em ambientes de cloud compu­ ting também é conhecida como Cloud Forense (Cloud Forensics) e pode ser entendida como um subconjunto da análise forense em redes de computa­ dores, uma disciplina cruzada entre a Cloud Compu­ ting e a perícia forense digital, que por sua vez fazem parte deste último grupo:

Como citado anteriormente, a cloud forense pos­ sui algumas particularidades que irão influenciar di­ retamente no ato investigativo. A busca por disponibilidade constante nos serviços oferecidos pe­ los provedores de serviços em nuvem (CSPs), por espaço para hospedagem de dados e redução de ris­ cos à falhas, alinhados a um bom custo benefício, que ofereça um produto final de qualidade com valo­ res competitivos trazem ainda mais complexidade no cenário da perícia em cloud computing. Desta forma, defini­se duas caracterísitcas que afetam diretamente a perícia, principalmente com re­ lação aos aspectos legais: a múltipla jurisdição e a múltipla locação. O primeiro refere­se às várias ju­ risdições existentes provenientes dos mais variados locais onde estão localizados os datacenters dos CSPs, cada qual com sua própria legislação. O se­

|41

Maio 2012 • segurancadigital.info

ARTIGO Segurança Digital

gundo item denomina a capacidade da nuvem de te­ rem seus recursos utilizados por vários usuários ao mesmo tempo. Conforme veremos mais adiante, es­ tes dois ítens formam os primeiros obstáculos ou fa­ tores que irão dificultar a perícia nas nuvens: a necessidade de cooperação internacional, devido ine­ xistência de uma legislação unificada e o acesso si­ multâneo aos recursos nas nuvens, que irão exigir grande colaboração dos provedores e seus clientes. Diante deste contexto complexo, Ruan et al. (2011) propõe a análise da perícia na nuvem sob três dimen­ sões (Marcelo Magalhães Ferreira, 2011):

A cloud forense possibilita várias abordagens po­ dendo ser empregada com finalidade investigativa, a fim de se constatar que determinado delito fora co­ metido formando provas válidas para determinado processo judicial. Pode ser aplicada na resolução de problemas ou para fins de segurança, podendo ser utilizada na recuparação de arquivos apagados aci­ dentalmente. Vale lembrar que apesar da possibilida­ de de aplicação nos mesmos moldes de uma perícia convencional, seu grau de dificuldade é muito supe­ rior e demanda ainda mais capacidade do perito, contando ainda com grandes obstáculos diferente­ mente de uma análise convencional. Em um cenário em que um delito ocorreu em uma empresa que possui grande parte de seu acervo com­ putacional disposto em Cloud Computing, de nada irá adiantar o perito ter acesso a computadores inter­ nos, hardwares e informações internas, dependendo do foco em que irá atuar, se o objeto principal da pe­ rícia estiver nas nuvens e constatada a impossibilida­ de de acesso aos mesmos. Ainda mais difícil pode se tornar a identificação do criminoso. Geralmente os provedores possuem registros de identificação de acesso pouco confiáveis e se esconder neste vasto ambiente pode ser tarefa fácil. Métodos, técnicas e procedimentos tradicionais da perícia digital podem se mostrar pouco eficientes neste novo contexto.

1. A dimensão técnica: Envolve os procedimentos e as ferramentas para realizar o processo pericial em ambientes de cloud computing. 2. A dimensão organizacional: Com relação ao ambiente organizacional, este irá contemplar ao me­ nos duas partes: a provedora dos serviços em nuvem e os seus clientes. Este item ainda pode se extender em vários aspectos, principalmente se houver a ter­ ceirização de algum serviço. É importante ressaltar que este possui vários detalhes e desdobramentos, mas como não é objeto de nosso estudo neste mo­ mento não aprofundaremos nestes detalhes. 3. A dimensão legal: Os aspectos legais envolven­ do a múltipla jurisdição e locação dos serviços em nuvem formam as principais preocupações idenfica­ das pelos peritos digitais. Estas caracterísitcas já nos dão uma breve noção do grau de complexidade deste novo campo e que os cuidados deverão ser redobrados quando o assunto for a cloud forense.

Principais obstáculos e dificuldades
Existem grandes dificuldades na cloud forense. É necessária uma lei ou tratado de cooperação interna­ cional com relação aos aspectos jurídicos envolvendo a cloud computing, de modo a possibilitar uma in­ vestigação colaborativa em casos onde seja necessá­ ria uma perícia digital. Isso será de extrema importância quando se tratar de uma investigação em que estarão envolvidas múltiplas jurisdições. Outro fator que devemos citar é o acesso aos da­ dos. Este acesso pelo perito pode ser muito dificulta­ do em função do modelo utilizado pelos usuários destes serviços. Usuários do modelo IaaS (infra­es­ trutura como um serviço) tem acesso relativamente fácil aos dados enquanto usuários do modelo SaaS (software como um serviço) tem acesso a pouco ou a nenhum dado. De acordo com Marcelo Magalhães Ferreira apud RUAN, "os provedores de SaaS podem não prover acesso aos logs de IP dos clientes; os pro­ vedores de IaaS podem não prover os dados forenses tais como as recentes máquinas virtuais e imagens de disco. Na nuvem, os clientes têm acesso reduzido a
Maio 2012 • segurancadigital.info

|42

ARTIGO Segurança Digital

arquivos de log e metadados relevantes em todos os níveis, assim como a habilidade de auditar operações da rede dos seus provedores e conduzir o monitora­ mento em tempo real nas suas próprias redes". O acesso aos dados pelo perito é fator chave para a perícia. Desta forma, alguns procedimentos da perí­ cia poderiam ser comprometidos em caso da impossi­ bilidade do acesso aos mesmos. O trabalho em cópias, verificação de integridade por geração de hash poderiam se comprometidos tornando facilmen­ te anuláveis as provas construídas, uma vez que não se conseguirá comprovar a integridade da cópia efe­ tuada. Somado a isto, a instabilidade dos servidores e a possibilidade de acesso aos dados por terceiros du­ rante a realização das cópias de segurança para análi­ se, leva­nos a um contexto em que a cadeia de custódia poderia ser comprometida, não sendo possí­ vel garantir que apenas os peritos tiveram acesso àquela determinada informação. Outro fator a ser analisado é com relação aos logs de auditoria. Mais uma vez há a necessidade de leis que estabeleçam critérios relativos ao tempo de guar­ da dos logs, ips e metadados que em vários casos são elementos essenciais para a resolução de um caso. Em conjunto poderia­se verificar uma forma de acesso a estes logs de maneira que o acesso a nível físico não comprometesse outras instância instaladas no mesmo meio. Em suma, isto quer dizer que, numa máquina servidora em que têm­se várias instãncias de hospedagem – utilizando­se de recursos como vir­ tualização por exemplo, seus logs a nível físico esti­ vessem separados a tal ponto que uma análise forense em um deles não comprometesse o outro que compartilha a mesma infraestrutura, garantindo e va­ lidade da evidência. De qualquer forma, somente reter e identificar unicamente esses logs não é o suficiente, para que o trabalho do perito seja facilitado. Seria necessária uma unificação dos formatos dos arquivos de log. Sa­ bemos que este item não é fácil de ser aplicado mas tem de ser colocado para avaliações futuras. Falando sobre a virtualização, podemos ter várias instâncias em funcionamento através de hypervisor – uma técnica de virtualização na qual é permitida que vários sistemas operacionais compartilhem os mes­ mos recursos físicos, sendo que problemas ocorridos neste nível podem danificar os recursos que este ge­ rencia e consequentemente comprometer a investiga­ ção. Relacionado aos logs temos também a reconstru­

ção de eventos. A sincronização dos tempos ou horá­ rios de ocorrências dos fatos é fundamental para a reconstrução e correlacionamento das datas aos fatos, o que permite o desenvolvimento da linha de tempo do caso em questão. Esse sincronismo é extrema­ mente difícil, uma vez que temos um grande número de recursos interligados nas nuvens e nos mais diver­ sos formatos, como por exemplo terminais fixos e móveis espalhados em várias regiões geográficas. Sabemos também que na perícia digital uma fonte de busca importante, onde pode­se encontrar evidên­ cias, são arquivos e/ou dados apagados. Mas nas nu­ vens, diante de toda a complexidade vista até então, como recuperar estes dados, identificar suas proprie­ dades como por exemplo, quem é o proprietário, for­ matos, datas de acesso, modificação, etc e utilizá­los na reconstrução de eventos? Como ter acesso a este dados?

Conclusão
Podemos observar que ainda existe muito a se de­ senvolver quando se tratar de “investigação nas nu­ vens”. A cloud computing ainda é uma disciplina relativamente nova, mas vem crescendo a passos lar­ gos, de modo que muitas vezes este avanço não é acompanhado por maturidade legal e questões relati­ vas à segurança da informação. As dificuldades resi­ dem na variedade dos serviços ofertados, em que dependendo do tipo de serviço, os controles de segu­ rança podem se perder lentamente, pois as responsa­ bilidades podem ir sendo terceirizadas. Solucionar casos em que este ambiente está en­ volvido pode ser complicado e não haver tempo hábil para tanto, pois hoje existem prazos estabelecidos na base legal e que têm que ser cumpridos. Existe gran­ de burocracia envolvida com relação à investigação na cloud computing. Mesmo com tantas dificuldades, abre­se também um leque de oportunidades para aqueles que possuem interesse pela área. Há muito que se desenvolver em termos de ferramentas, aspectos legais, novas técni­ cas e serviços para atuação específica neste meio e isto pode se tornar um negócio vantajoso para quem deseja ingressar neste cenário. Deve­se, para tanto, observar que todo trabalho neste contexto deverá ser realizado com ainda mais empenho do que a forense digital nos moldes convencionais, pois há mais difi­ culdades inseridas que devem ser transpostas com muita eficiência e eficácia. Contudo, um trabalho bem realizado é sinônimo de retorno garantido a to­
Maio 2012 • segurancadigital.info

|43

ARTIGO Segurança Digital

das as partes envolvidas.

Bibliografia
CAIXETA, Thiago Fernandes Gaspar. PERÍCIA FORENSE DIGITAL ­ A tecnologia da informação co­ mo ferramenta estratégica no combate ao crime. FERREIRA, Marcelo Magalhães. Perícia Forense Computacional em Cloud Computing – Um Breve Re­ lato. Disponível em: < http://pt.scribd.com/doc/86893935/Marcelo­Magalhaes­Ferreira­Pericia­Foren­ se­Computacional­Em­Cloud­Computing­Um­Breve­Relato­Monografia >. Acesso em: 01 maio. 2012. LIMA, Caio César Carvalho. Aspectos legais da Perícia Forense Computacional em um cenário de Cloud Computing. Disponível em: < http://caiolima.me/wp content/uploads/2010/09/Caio­C%C3%A9sar­Car­ valho­Lima­ICCyber­2010.pdf >. Acesso em: 22 abr. 2012. RAMOS, Robson da Silva, ESES, Nicholas Istenes. O Impacto do Cloud Computing no Processo de Pe­ rícia Digital: < http://pt.scribd.com/doc/55358724/O­Impacto­do­Cloud Computing­no­Processo­de­Pe­ ricia­Digital >. Acesso em: 24 abr. 2012. VERDI, Fábio Luciano. Cloud Computing, Data Centers e Governo: desafios e oportunidades. Disponí­ vel em: < http://www.ppgccs.net/verdi/csbc_wcge10.pdf >. Acesso em: 28 abr. 2012. KEYUN Ruan, Ibrahim Baggili, Prof Joe Carthy, Prof Tahar Kechadi . Survey On cloud forensics and critical criteria For cloud forensic capability: A preliminary analysis. Disponível em: <http://www.cloud­ forensicsresearch.org/publication/Survey_on_Cloud_Forensics_and_Critical_Criteria_for_Cloud_Fo­ rensic_Capability_6th_ADFSL.pdf >. Acesso em: 01 maio. 2012. KEYUN Ruan, Prof. Joe Carthy, Prof. Tahar Kechadi, Mark Crosbie. Cloud forensics: An overview. Dis­ ponível em: <http://cloudforensicsresearch.org/publication/Cloud_Forensics_An_Overview_7th_I­ FIP.pdf>. Acesso em: 01 maio. 2012.

Thiago Fernandes Gaspar Caixeta

Graduado em Ciência da Computação e MBA em Gestão da Segurança da Infor­ mação pela Universidade Fumec, atua na área de TI como Analista de Sistemas e Segurança da Informação. Entusiasta da forense computacional.

E­mail: thiago.caixeta@gmail.com Twitter: @tfgcaixeta

|44

Maio 2012 • segurancadigital.info

Auditoria - Como Windows Server pode te ajudar
As informações, com certeza, são os bens mais valiosos que podemos ter no nosso mundo, pois é uma das poucas coisas que quando conseguimos não nos podem ser retiradas. No mundo empresarial elas possuem um nível ainda maior, que podem determinar um caso de su­ cesso ou não, ou um diferencial entre as concorren­ tes, o chamado know­how. E protegê­las cada dia que passa é uma tarefa de suma importância. Técnicas para isso é que não faltam, entre elas es­ tão as mais simples como definir permissão de aces­ sos através do sistema de arquivos ou por permissão de compartilhamentos, que de uma forma rápida defi­ ne quem pode e quem não pode acessar os arquivos, ou definir os níveis de permissão de acesso a arqui­ vos tais como leitura e escrita, mas também existem as técnicas mais avançadas como criptografia de da­ dos usando chaves assimétricas, onde somente quem possui as chaves apropriadas podem acessar os da­ dos. Para a proteção dessas informações implementar essas técnicas é um dos princípios da segurança da informação, mas não é o suficiente, não adianta você implementá­las sem monitorar, pois quem pensa que uma vez que esteja executando e em produção o pro­ cesso está perfeito, na verdade está é perfeitamente

enganado. Após todo o processo de implementação é necessário verificar se tudo corre conforme o progra­ mado e uma técnica para ver se as tarefas estão sendo executadas da maneira como foram projetadas é rea­ lizar uma auditoria. A auditoria de uma forma resumida é uma tarefa onde se realizam testes para verificar se tudo está sendo executado dá maneira correta, mas quando vo­ cê fala em auditoria muitas pessoas pensam em algu­ ma empresa indo a outra e realizando esses testes e no final gera um relatório sobre o que está certo e normalmente o que está errado, mas uma auditoria pode ser realizada internamente e como estamos fa­ lando de acesso a informações a família Windows Server fornece uma ferramenta embutida nela, para realizar essa função e de rápida implementação e isso é que será abordado nesse artigo. A seguir será implementado uma auditoria de fa­ lha de acesso a arquivos e verificação de quem apa­ gou um arquivo.

Configurando o seu servidor para realizar auditoria de arquivos
O primeiro passo para realizar uma auditoria em um Windows Server é habilitá­la e para isso crie uma GPO na OU do servidor em que ela será executada

|45

Maio 2012 • segurancadigital.info

DICA / TUTORIAL Segurança Digital

ou defina­a nas políticas locais. Nota: Para um melhor gerenciamento é melhor criar uma GPO, pois assim você pode configurá­la sem ter que logar localmente além de poder ter um relatório do que está habilitado ou não. Ao criar a GPO vá até a seguinte configuração: Computer Configuration (Configuração de Compu­ tador) > Policies (Politicas) > Windows Settings (Configurações do Windows) > Security Settings (Configuração de Segurança) > Local Policies (Poli­ ticas Locais) > Audit Policies (Politicas de Auditoria) e clique duas vezes em “Audit Object Access” (Au­ ditoria de Acesso a Objetos). Obs: A politica acima é para ser criada no Win­ dows Server 2008 no 2003 o caminho é diferente: Computer Configuration (Configuração de Compu­ tador) > Windows Settings (Configurações do Win­ dows) > Security Settings (Configuração de Segurança) > Local Policies (Politicas Locais) > Au­ dit Policies (Politicas de Auditoria) e clique duas ve­ zes em “Audit Object Access” (Auditoria de Acesso a Objetos). Na janela que aparecer marque as opções “Suc­ cess” (Sucesso) e “Failure” (Falha), isso para poder termos a opção de selecionar as opções de falha e su­ cesso na auditoria, conforme a imagem abaixo:

Pronto já habilitamos o servidor para que ele pos­ sa realizar auditorias, mas ele não está auditando na­ da ainda, para isso precisamos definir o que será auditado no nosso caso queremos que ele audite os acessos indevidos a pastas e os arquivos apagados com sucesso. Para isso logue com uma conta com direitos ad­ ministrativos no servidor onde a auditoria foi habili­ tada, vá até a pasta onde ela será realizada e clique com o botão direito nela e depois em “Properties” (Propriedades) e após na aba “Security” (Segurança), em seguida em Advanced (Avançado).

Clique na aba “Auditing” (Auditoria), aparecerá uma tela perguntando se você está logado com um usuário com direitos administrativos e pergunta se quer continuar então clique em continue. Obs: No Windows Server 2003, esse passo não existe.

|46

Maio 2012 • segurancadigital.info

DICA / TUTORIAL Segurança Digital

dos com sucesso e os arquivos com falha de leitu­ ra(sem acesso), então marque a opção “delete” na coluna “Successfull” (sucesso) e “List Folder/ Read Data” (Listar Pasta / Ler Dados) na coluna “Failed” (Falha).

Na tela seguinte clique em add (adicionar) para definir as regras da auditoria, ou seja o que deve ser auditado.

A seguir aparecerá uma tela pedindo qual usuário será auditado, no nosso caso queremos que ele faça uma auditoria de todos os usuários, então digite o no­ me “everyone” (todos) e clique em “Ckeck Names” (Checar nomes) e depois em OK

Dica: Não marque todas as opções, pois a visuali­ zação da auditoria ficará comprometida, isso será ex­ plicado mais a frente. Pronto agora a auditoria já está habilitada e confi­ gurada o próximo passo e visualizar.

Visualizando os logs de auditoria
Agora que o seu servidor está preparado para auditar, como podemos visualizar os dados que necessitamos? A ferramenta é simples de usar e todos nós conhecemos que o: Event Viewer ou Visualisador de Eventos, com ele basta ir nos logs de segurança (security) para verificar o que precisamos, porém é uma tarefa difícil verificar essas informações por ele, por um simples motivo que mostrarei na imagem abaixo:

Após, aparecerá uma tela pedindo o que quer ser auditado, no nosso caso os arquivos que são deleta­

|47

Maio 2012 • segurancadigital.info

DICA / TUTORIAL Segurança Digital

Notaram que ele gera inúmeras informações e até você achar o que precisa, tendo que verificar entrada por entrada para descobrir o que quer é chato. Se vo­ cê já sabe o que procura, você pode fazer um filtro e ele já te retorna os valores que quer, no nosso caso queremos descobrir quem deletou um arquivo e quem tentou acessar um arquivo não permitido. Nota: Quando foi falado acima para não marcar todas as opções foi justamente por causa das inúme­ ras informações que são gravadas nos logs, se caso deixasse tudo habilitado seu log ia estourar rapida­ mente. Para verificar o arquivo deletado basta filtrar pelo evento 4663 e ele te informará quem deletou o arqui­ vo e que horas, conforme imagem abaixo:

Neste caso o usuário Teste2 tentou acessar a pasta teste e não conseguiu por não ter acesso. Informação contida onde está marcado de vermelho na imagem. Nota: No Windows Server 2003 o evento é o numero 560. Nota: Tanto no Windows Server 2008 quanto no 2003 a auditoria apresenta em falha.. Isso é uma forma de você visualizar, a outra é através do Powershell, é preferível usá­lo quando quer colocar em um relatório fica bem mais simples, pois você pode transformar a saída em um HTML. Abaixo segue os dois scripts em powershell para os nossos dois casos: Arquivo deletado Windows Server 2008 $a = get­eventlog ­logname security ­instanceid 4663 |convertto­html ­property timegenerated, message $a = $a| foreach­object {$_ ­replace "<table>", "<table border 2>"}
Maio 2012 • segurancadigital.info

Nota: No Windows Server 2003 o evento é o 560. Neste caso o usuário suporte deletou o arquivo Documento Teste no dia 07/04 as 22:09 E para verificar acesso indevido, tem que filtrar dois eventos o de número 4656 e 5145, o primeiro fa­ la de acesso indevido via acesso local e o segundo via rede, mas ambos dão os mesmos detalhes como mostra a imagem abaixo:

|48

DICA / TUTORIAL Segurança Digital

$a|Out­File “local do arquivo HTML” Na primeira linha do script ele coleta as informa­ ções dos eventos de segurança onde o eventID é 4663 e converte a saída para HTML armazenando so­ mente a Hora Gerada e a Mensagem e coloca o resul­ tado na variável $a. Na segunda linha ele pega a variável $a e procura pela tag HTML <table> ao acha­la ele troca colocan­ do uma borda nela. (Essa parte é importante pois ao converter a saída do comando para HTML ele vem sem borda e a visualização no arquivo fica ruim.) Na terceira linha o resultado dentro de $a é grava­ do dentro de um arquivo. (Onde está escrito “local do arquivo HTML” coloque o local onde quer armaze­ nar o arquivo, por exemplo ‘C:\resultado\auditoria.html” Windows Server 2003 $a = get­eventlog ­logname security ­instanceid 560 –message “*Delete*” |convertto­html ­property timegenerated, message $a = $a| foreach­object {$_ ­replace "<table>", "<table border 2>"} $a|Out­File “local do arquivo HTML” Na primeira linha do script ele coleta as informa­ ções dos eventos de segurança onde o eventID é 56º e a mensagem do evento possui a palavra Delete e converte a saída para HTML armazenando somente a Hora Gerada e a Mensagem e coloca o resultado na variável $a. Na segunda linha e terceira linha é a mesma coisa do script acima. Acesso indevido Windows Server 2008 $a = get­eventlog ­logname security ­entrytype failureaudit ­message "*file*" |convertto­html ­property timegenerated, message $a = $a| foreach­object {$_ ­replace "<table>", "<table border 2>"} $a|Out­File “local do arquivo HTML” Na primeira linha do script ele coleta as informa­ ções dos eventos de segurança onde os tipos são Fa­ lhas de Auditoria e na mensagem existe a palavra “file” (comum em ambos os eventos falados acima) e converte a saída para HTML armazenando somente a Hora Gerada e a Mensagem e coloca o resultado na variável $a.

Windows Server 2003 $a = get­eventlog ­logname security ­entrytype failureaudit –instanceid 560 |convertto­html ­property timegenerated, message $a = $a| foreach­object {$_ ­replace "<table>", "<table border 2>"} $a|Out­File “local do arquivo HTML” Na primeira linha do script ele coleta as informa­ ções dos eventos de segurança onde os tipos são Fa­ lhas de Auditoria e o eventID é o 560 e converte a saída para HTML armazenando somente a Hora Ge­ rada e a Mensagem e coloca o resultado na variável $a. Na segunda linha e terceira linha de ambos é a mesma coisa do script de arquivo deletado. Lembre­se: Para criar um script em Powershell você tem que salvar o arquivo com a extensão .ps1. Nota: Geralmente os scripts de powershell não são habilitados para execução por padrão para isso antes de executar os scripts acima, rode o comando Set­ExecutionPolicy Unrestricted Lembrete: O Powershell na vem instalado no Windows Server 2003, para isso tem que baixar e instalar o mesmo. Com isso verificamos como habilitar, configurar uma auditoria no Windows Server 2003 e 2008 e ve­ rificarmos como anda o acesso a arquivos em nossa rede, porém a auditoria de arquivos é somente uma parte das ferramentas de auditoria no Windows, exis­ tem outras tais como a auditoria de logon em máqui­ na, para mais informações acesso o link: http://technet.microsoft.com/pt­ br/library/cc779526(v=ws.10).aspx

Laerte Costa
Perfil: Formado em Sistemas de In­ formação e certificado MCSA 2003, trabalho com administração de redes, tanto windows quanto li­ nux, a mais de 5 anos e escrevo ar­ tigos para o site www.cooperati.com.br. Sou um buscador incessante de informação pois acredito que ela que faz a dife­ rença entre um ser bem ou mal sucedido.. Twitter: @laerte_hc Site: www.cooperati.com.br

|49

Maio 2012 • segurancadigital.info

NOTÍCIAS
ONU vai advertir países membros sobre ris­ cos do vírus Flame A agência da Organização das Nações Unidas (ONU) encarre­ gada em ajudar os países mem­ bros a manter em segurança seus projetos nacionais de infra­ estrutura vai emitir um alerta sobre o risco do vírus Flame, recentemente descober­ to no Irã e em outras regiões do Oriente Médio. A criação do vírus de espionagem Flame e sua re­ cém­descoberta difusão em países como Israel, Irã, Síria e Egito foram bancadas por governos, disse a empresa de segurança digital Kaspersky Labs à BBC. >> http://migre.me/9iyne >> http://migre.me/9iynT Nuvem força profissional de TI a entender mais de ´negócios´ Pesquisas recentes mostram que o uso de computação em nuvem é cada vez mais co­ mum nas empresas brasileiras e, de acordo com especialistas, este novo cenário exige que CIOs e CEOs mudem seu comportamento. As aplicações na nuvem são usadas especialmente para economizar dinheiro e reduzir o tempo gasto com a implantação e gestão de ferramentas de TI. Se­ gundo Erick Vils, fundador da empresa WebSoftwa­ re, ao optar pelo uso de serviços de nuvem a empresa muda também o perfil do profissional exigido para fazer parte da equipe. >> http://migre.me/9iyoz >> http://migre.me/9iyvJ Polícia captura menor que postou fotos de Carolina em site da Cetesb A Polícia Civil de São Paulo apreendeu nesta manhã, em Carapicuíba, cidade da Gran­ de São Paulo, o cracker que publicou fotos da atriz Caro­ lina Dieckmann no site da Companhia de Tecnologia de Saneamento Ambiental (Cetesb). O cracker é um adolescente de 17 anos que trabalha como professor de informática. >> http://migre.me/9iypm Especialista detalha brecha que permitia que­ bra de sigilo do voto O Tribunal Superior Eleitoral (TSE) realizou em março um evento que deu a especialistas – chamados pelo tribunal de "investigadores" – a oportuni­ dade de testar a segurança da urna eletrônica. Uma equipe da Universidade de Bra­ sília (UnB) conseguiu descobrir um problema na for­ ma como a urna embaralhava o registro dos votos. Na prática, isso significa que, se alguém soubesse a ordem de votação – por exemplo, que você foi o 5º a votar ­, era possível determinar, também, em quem você votou. E a urna não precisava ser violada para isso. >> http://migre.me/9iysS 40% dos perfis em redes sociais são spam Assim como ocorreu com o e­ mail, o sucesso de redes soci­ ais como Facebook e Twitter chama a atenção de spammers interessados em monetizar suas ações. Segundo a empresa de segurança Impermium, os spammers são os responsáveis por criar 40% dos perfis em redes sociais como Facebook, Twitter e Pinterest com o intuito de disseminar golpes por meio de links maliciosos compartilhados.

Contribua com nosso projeto? Envie um email para nossa equipe! contato@segurancadigital.info
Maio 2012 • segurancadigital.info

|50

Parceiros

Venha fazer parte dos nossos parceiros, que apoiam e con­ tribuem com o Projeto Segu­ rança Digital.

|51

Maio 2012 • segurancadigital.info

www.ablesecurity.com.br

|52

ANÚNCIO AbleSecurity

Maio 2012 • segurancadigital.info

PARCEIRO 4Linux

»

Segurança em Servidores Linux

Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de pre­ servar o valor que possuem para um indivíduo ou uma organização. São características básicas da segu­ rança da informação os atributos de confidencialida­ de, integridade, disponibilidade e autenticidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de prote­ ção de informações e dados. O conceito de Seguran­ ça Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da In­ formação, incluindo não apenas a segurança dos da­ dos/informação, mas também a dos sistemas em si. O curso Segurança em Servidores Linux ensina o aluno a utilizar ferramentas de segurança FOSS (Free and Open Source Software) combinadas com o poder dos recursos do Sistema Operacional Linux, possibi­ litando ao profissional de TI propôr modelos de segu­ rança com ferramentas consagradas no mundo do software livre. O curso é fortemente focado na criação de proce­ dimentos de segurança pós­instalação, fazendo com que o sistema se torne mais seguro e conscientize o aluno sobre a importância desses procedimentos e da sua obrigatoriedade em todas as implementações.

Para mais detalhes acesse: http://www.4linux.com.br/cursos/cursos­seguranca. html#curso­508

Quem deve fazer este curso e por que
O curso Segurança em Servidores Linux é indica­ do para o profissional de TI que: > Se preocupa com a segurança dos servidores da sua empresa; > Deseja identificar e registrar comportamentos que podem afetar o desempenho dos servidores es­ tando em produção ou em ambientes de testes; > Quer minimizar ou eliminar os principais pro­ blemas e riscos com a segurança da sua infra; > Quer se tornar especialista em segurança da in­ formação e obter a certificação LPIC 3 – Exam 303;

|53

Maio 2012 • segurancadigital.info

PARCEIRO Brasport

|54

Maio 2012 • segurancadigital.info

PARCEIRO HostDime

»

Desafios da Gestão de Segurança em Servidores Compartilhados (Final)
profissionais de segurança devemos cada vez mais orientá­los sobre os riscos e benefícios de uma ‘sim­ ples’ senha.

O que podemos fazer para evitar isto?

Atualmente não é raro encontrar em sistemas gra­ tuitos ou pagos a exigência de senha complexa e acredito que esta seja uma boa saída para que os usuários sejam conscientizados. Além disto, como

|55

Ho
Artigo escrito por Thiago Brandão. Thiago é especialista em segurança e faz parte do ti­ me de analistas de SI da HostDime Brasil.
Maio 2012 • segurancadigital.info

Esta coluna tem como objetivo esclarecer um pou­ co sobre o desafio que enfrentamos todos os dias pa­ ra manter servidores compartilhados livres de ameaças, que teimam em importunar a operação de toda e qualquer empresa que lida diretamente com a hospedagem de sites. Nos dois artigos anteriores fa­ lamos sobre as aplicações, que fazem parte de um grande número de portas de entrada muito exploradas por invasores. Além da preocupação com os siste­ mas, segurança e outros aspectos, há uma proteção em praticamente todos os sistemas que pode ser de­ masiadamente vulnerável: A SENHA. Você pode achar que este artigo será redundante, mas infelizmente não é. Quanto maior o número de usuários de internet, maior o número de senhas que são vulneráveis a ataques, já que alguns usuários ain­ da não têm a consciência de que a senha que eles possuem não é segura, a menos que você as formate de um modo seguro. Além da complexidade da senha, existem dois er­ ros muito comuns que também podem fazer com que uma senha seja vulnerável: Usar a mesma senha em todos os sistemas e/ou utilizar a mesma senha por anos. Na ocorrência de uma situação ou outra, sua se­ nha mesmo sendo considerada forte poderá estar tão vulnerável quanto uma senha fraca (ex.: 123456), e não é raro que ambos aconteçam principalmente em ambiente compartilhado de servidores, onde uma parte considerável dos usuários possuem conheci­ mentos básicos de informática. Acredito que a senha evolui juntamente conosco, a cada vez que você tem mais conhecimento, conhe­ ce novas pessoas e vive novas experiências, você possui mais informações para compilar uma senha mais poderosa e segura. Isto pode parecer estranho, mas se você utiliza uma senha segura e sabe ela de cor e salteado, provavelmente você não gerou através de um algoritmo e cada caractere faz algum sentido para você ou senão o conjunto deles fazem sentido.

F i m d a S é r i e D e s a f i o s d a G e s t ã o d e S e­ gurança em Servidores Compartilhados
Hoje nós encerraremos nossa série que contou com três artigos sobre as principais vulnerabilidades as quais servidores compartilhados estão suscetíveis à nível de usuário. No entanto, não é o fim da nossa participação na Revista Segurança Digital. Traremos outros assuntos relacionados à nossa experiência, mas não limitados à operação de servidores compar­ tilhados. A segurança é muito ampla e, mesmo que falemos tudo, ainda não será o suficiente. Até a pró­ xima edição!

stD

im

e

PARCEIRO Kryptus

»

MAS – Malware Analysis System
Instalação e manutenção: Fácil instalação e ge­ renciamento, configuração mínima, alta vazão e es­ calabilidade. Uso simples, mas completo: Interface de gerenci­ amento simples e intuitiva. Provisão de relatórios ge­ renciais e técnicos com diversos níveis de informação. Contra­medidas: Defesa pró­ativa da rede atra­ vés da provisão de tendências de ataque e listas de bloqueio de endereços infectados de forma automáti­ ca, configurando IPSs. Análise comportamental de malwares: Extrai mais informações de cada malware ajudando a en­ tendê­los e a combatê­los de forma mais efetiva. Alto desempenho: Capaz de analisar mais de 1000 aterfatos por dia, sejam malwares, sejam aplicações web maliciosas.

A ameaça dos códigos maliciosos tem aumentado consideravelmente e centenas de novos exemplares surgem diariamente e com características cada vez mais complexas. O crescimento na quantidade de no­ vos malwares e a utilização de mecanismos que eva­ dem sistemas de segurança fazem com os produtos para defesa comercializados atualmente tenham uma difícil tarefa na detecção de infecções e ataques nas redes que visam proteger. O kryptus­MAS foi desenvolvido para preencher essa lacuna, analisando malware e aplicações web de forma dinâmica e eficiente, independente da existên­ cia de assinaturas de detecção ou vacinas. O Kryptus­ MAS identifica mudanças em arquivos, processos, chaves de registro e interações de rede em ambientes MS­Windows pré­configurados, tornando possível a tomada de contra­medidas defensivas rápida e efeti­ vamente, mitigando as ameaças e protegendo a rede antes que uma infecção se espalhe. O kryptus­MAS, através de suas análises automa­ tizadas, retira a sobrecarga dos responsáveis pela se­ gurança e gerência da rede, fazendo com que seu foco seja direcionado às medidas defensivas pró­ati­ vas. Além disso, o kryptus­MAS gera relatórios ge­ renciais e técnicos, dando visibilidade das ameaças para os administradores da rede. Sua escalabilidade permite a geração de centenas ou até milhares de análises diárias, dependendo da vazão requisitada, aumentando assim o nível de proteção da rede e a ba­ se de conhecimento sobre as tendências de ataque e ameaças correntes.

Sobre a Kryptus (http://www.kryptus.com/)
Empresa 100% brasileira, fundada em 2003 na ci­ dade de Campinas/SP, a Kryptus já desenvolveu uma gama de soluções de hardware, firmware e software para clientes Estatais e Privados variados, incluindo desde semicondutores até aplicações criptográficas de alto desempenho, se estabelecendo como a líder brasileira em pesquisa, desenvolvimento e fabricação de hardware seguro para aplicações críticas. Os clientes Kryptus procuram soluções para pro­ blemas onde um alto nível de segurança e o domínio tecnológico são fatores fundamentais. No âmbito go­ vernamental, soluções Kryptus protegem sistemas, dados e comunicações tão críticas como a Infraestru­ tura de Chaves Públicas Brasileira (ICP­Brasil), a Urna Eletrônica Brasileira e Comunicações Gover­ namentais.

Características funcionais
Alta Eficácia: Produz resultados efetivos para mais de 91% dos artefatos, contra 54% do Anubis e 27% do CWSandBox. Falsos negativos menores que 19%, 4 vezes melhor que o JSand. Proteção: Análise dinâmica automatizada de ar­ quivos suspeitos (inclusive zero­day). Funciona até mesmo com malwares específicos para Windows 7. Tempo real: Análise em tempo real de sites mali­ ciosos, enquanto os usuários navegam na internet, com alertas imediatos. Catalogação: Cataloga exemplares de malware, relatórios de análise e o comportamento intrusivo apresentado durante sua execução. Relatórios expor­ táveis em XML, HTML e PDF.

|56

Maio 2012 • segurancadigital.info

COLUNA DO LEITOR

EMAILS, SUGESTÕES E COMENTÁRIOS
Esta seção foi criada para que possamos compartilhar com você leitor, o que andam falando da gente por aí... Contribua para com este projeto: (contato@segurancadigital.info).
Elexsandro (por E­ mail) Parabéns pela iniciativa e pelo excelente trabalho, espero e torço que dê tudo certo para que continue­ mos tendo o privilegio de ter de forma clara, limpa e objetiva todo esse mundo de informação sobre Se­ gurança Digital. Carlos (por E­ mail) Quero parabenizar a equipe pelo bom trabalho que está realizando, acompanho todas as edições. Para­ béns! Gostaria de propor como temas futuros que o fortalecimento de servidores Windows e Linux. Mi­ nha ideia é, cada edição da revista ser apresentado aos poucos técnicas de hardening. Tenho dificulda­ de no mesmo e acredito ser muito importante no mundo da segurança! Renato (por E­ mail) Assim que fico sabendo do lançamento de mais uma edição corro para fazer download. Parabéns a todos os colaboradores e que continuem assim. Gostei da sua iniciativa Fábio, parabéns meu camarada. Julho santos (por E­ mail) Futuramente quero contribuir com este projeto ma­ ravilhoso de vocês. Uma revista de tão alto nível e que não possui fins lucrativos como a de vocês é di­ fícil de achar se não impossível. Confesso que gostei da ideia de vocês realizarem sorteios para os leitores. Parabéns! Waldony (no Site) Parabens pelo material, não conhecia. mas agora vai para os favoritos. Leandro Dourado (no Site) Realmente a revista está muito boa! E só melhora a cada edição. Parabéns a todos!! Aloisio Sousa (no Twitter) @_SegDigital Quero parabenizar a 5º edição muita boa mesmo.... o artigo SSH com DenyHosts. Para­ béns Fábio Jânio Lima. Reinaldo Guevara (no Twitter) @_SegDigital Grato pelo trabalho na quinta edição, artigos interessantes, no aguardo da próxima Marcos T. Silva (no Twitter) @_SegDigital a revista é show de bola. Parabéns a todos envolvidos. Tem muita revista paga que nçao tem o conteúdo q a de vcs tem. Renato (no Site) Um amigo me indicou está revista como uma boa opção de leitura para o final de semana. Olha que ele acertou em cheio! Estou na expectativa para o lançamento da 6ª edição...

|57

Maio 2012 • segurancadigital.info

Segurança Digital
6ª Edição ­ Maio de 2012

www.segurancadigital.info
@_SegDigital segurancadigital

You're Reading a Free Preview

Descarregar
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->