Você está na página 1de 85

HIJAZI, MAZZORANA E RAVANELLO

HONEYPOTS E ASPECTOS LEGAIS


Dissertao apresentada ao Programa de PsGraduao em Informtica Aplicada da Pontifcia Universidade Catlica do Paran como requisito parcial para obteno do ttulo de especializao em Redes e Sistemas Distribudos. rea de Concentrao: Segurana de sistemas, Honeypots sistemas Orientador: Prof. Mestre Marcos Aurelio Pchek Laureano e aspectos legais das ferramentas automatizadas de aquisio de provas de invaso de

CURITIBA 2004

ii

Ravanello, Anderson Luiz; Hijazi, Houssan Ali; Mazzorana, Sidney Miguel Honeypots e Aspectos Legais. Curitiba, 2004. 85 p. Dissertao Pontifcia Universidade Catlica do Paran. Programa de PsGraduao em Informtica Aplicada. 1. Honeypots 2. Honeynets 3. Ferramentas de Segurana 4. Tecnologia e Aspectos Legias. I.Pontifcia Universidade Catlica do Paran. Centro de Cincias Exatas e de Tecnologia. Programa de Ps-Graduao em Informtica Aplicada II-t

iii

Dedicamos

esta

monografia

nossas

famlias pelo tempo do qual abriram mo para que pudssemos compor este trabalho.

vii

Agradecimentos
Agradecemos aos professores que estimularam nossa curiosidade nos impondo novos desafios e ao Mestre Laureano pela ajuda e orientao para concretizao deste trabalho. Agradecemos aos nossos amigos e familiares por apoiarem, fazendo com que nos esforssemos ao mximo.

ix

Sumrio
Agradecimentos .............................................................................................................. vii Sumrio ...........................................................................................................................ix Lista de Figuras .............................................................................................................. xiii Lista de Abreviaturas ......................................................................................................xv Resumo ............................................................................................................................xvi Abstract ...........................................................................................................................xvii Captulo 1 Introduo ...................................................................................................................... 19 Captulo 2 Ataques, Atacantes e motivaes ...................................................................................21 2.1. O que um ataque .................................................................................................21 2.2. Classificao de ataques .....................................................................................21 2.2.1. Classificao de ataques conforme objetivo ................................................22 2.2.2. Classificao dos ataques conforme a origem ............................................. 22 2.2.3. Classificao de ataques conforme a severidade ......................................... 23 2.3. Formas de Ataque .............................................................................................. 25 2.3.1. Ataques automatizados ................................................................................ 25 2.3.3 Ataques manuais ........................................................................................... 28 2.4. Ferramentas de ataque ........................................................................................29 2.4.1. Classificao de ferramentas de ataque por efeito .......................................29 2.5. Tcnicas de preveno ....................................................................................... 32 2.6. Contra ataque ..................................................................................................... 33 2.7. Tipos de Atacante e Motivaes ........................................................................33 2.8. Concluso ...........................................................................................................33 Captulo 3 Ferramentas de Segurana ............................................................................................. 34 3.1. Firewalls .............................................................................................................34

3.1.1. Classificao de Firewall segundo o funcionamento ...................................35 3.1.2. Classificao de Firewall segundo o Grau de Interao com o trfego .......36 3.1.3. Classificao de Firewall segundo a Arquitetura .........................................39 3.1.4. Problemas inerentes da ferramenta .............................................................. 41 3.2. IDS - Sistema de Deteco de intruso ..............................................................42 3.2.1. Caractersticas desejveis em IDSs ........................................................... 42 3.2.2. Classificao de IDS ....................................................................................44 3.2.2.1. NIDS ...................................................................................................... 44 3.2.2.2. HIDS ...................................................................................................... 45 3.2.2.3. SIV ......................................................................................................... 45 3.2.2.4 LFM ..................................................................................................... 46 3.2.3. Mtodos de deteco de intruso ................................................................. 46 3.2.3.1. Deteco de intruso baseada em assinatura ......................................... 46 3.2.3.2. Deteco de intruso baseado em anomalia ...........................................47 3.2.4 Limitaes do IDS ........................................................................................ 47 3.3. Concluso ...........................................................................................................49 Captulo 4 Honeypots, Honeynets e Honeytokens ........................................................................... 50 4.1. Honeypots .......................................................................................................... 50 4.1.2. A Histria do Honeypot ...............................................................................51 4.1.3. O Honeypot no Brasil .................................................................................. 51 4.1.4. Vantagens de uma Honeypot ....................................................................... 52 4.1.5. Desvantagens de um Honeypot ....................................................................52 4.1.6. Como funciona uma Honeypot .................................................................... 53 4.1.7. Tipos e Nveis de Honeypots ....................................................................... 53 4.1.8. Ferramentas para criar um Honeypot ...........................................................54 4.1.9. Riscos do Honeypot ..................................................................................... 55 4.1.10. Classificao de Honeypots baseados na implementao ..........................55 4.1.11. Implementao de Honeypots ....................................................................56 4.2. Honeynets ...........................................................................................................57 4.2.1. Controle de Dados ........................................................................................57 4.2.2. Captura de Dados .........................................................................................59

xi

4.2.3. Anlise de Dados ......................................................................................... 60 4.2.4. Anlise de Dados Avanada ........................................................................ 61 4.3. Honeynets GENII (segunda gerao) .................................................................61 4.3.1. Honeywall ....................................................................................................62 4.3.2. Captura e Controle de Dados ....................................................................... 62 4.4. Honeytokens .......................................................................................................63 4.4.1. Definio de Honeytokens ...........................................................................63 4.4.2. Implementao de Honeytokens perante massas de dados reais ou forjadas ............................................................................64 4.4.3. Vantagens do uso de Honeytokens .............................................................. 65 4.4.4. Desvantagens do uso de Honeytokens .........................................................65 4.4.5. Descrio de um caso de uso de Honeytokens ............................................ 65 4.5. Concluso ...........................................................................................................66 Captulo 5 Crime Digital, Anlise Forense e o Aspecto Legal dos Honeypots ...............................67 5.1. Crime digital ...................................................................................................... 67 5.1.1. Crimes contra a pessoa .................................................................................68 5.1.2. Crimes contra o patrimnio ..........................................................................69 5.1.3. Crimes contra a propriedade imaterial ........................................................69 5.1.4. Crimes contra os costumes ...........................................................................69 5.1.5. Crimes contra a incolumidade pblica .........................................................70 5.1.6. Crimes contra a paz pblica .........................................................................70 5.1.7. Outros crimes menos comuns ...................................................................... 70 5.2. Legislao especfica para o meio digital .......................................................... 70 5.3. Prova de autoria e dificuldades tcnicas que atrapalham a captura de criminosos virtuais ......................................................................... 71 5.4. Anlise Forense ..................................................................................................72 5.4.1. Ferramentas Forenses de anlise digital .......................................................73 5.4.1.1. Kit de Ferramentas Sleuth ......................................................................73 5.4.1.2. Authopsy Forensic Browser ...................................................................74 5.5. Honeypots como ferramenta Forense .................................................................74 5.6. Conluso .............................................................................................................76

xii

Capitulo 6 Concluso .......................................................................................................................77 Referncias Bibliogrficas ..............................................................................................79

xiii

Lista de Figuras
Figura 1 Figura 2 Figura 3 Arquitetura Dual Homed Host Arquitetura Screened Host Honeynet 38 39 56

xv

Lista de Abreviaturas
IDS IP DoS DDoS LAN FTP HTTP ICMP DNS UDP DMZ NIDS HIDS SIV IIS NIPS TTL ToS TELNET Intrusion Detection System Internet Protocol Denial of Service Distributed Denial of Service Local Area Network File Transfer Protocol Hyper Text Transfer Protocol Internet Control Message Protocol Domain Name Server User Datagram Protocol De-Militarized Zone Network based Intrusion Detection Systems Host based Intrusion Detection Systems System Integrity Verifier Internet Information Services Network Intrusion Prevention System Time To Live Type of Service Network Terminal Protocol

xvi

Resumo

Este trabalho apresenta uma anlise dos conceitos de ataques digitais e ferramentas de segurana de sistemas, com o maior foco em Honeypots e Honeynets e como estes podem ser usados para fins legais.

xvii

Abstract

This paper introduces the concepts behind digital attacks and system security tools, with focus on honeypots and honeynets and how can they be deployed in order to provide legal value. Keywords: Honeypots, Honeynets, Legal Value, Security.

19

Captulo 1

Introduo

A questo da segurana de dados parece ser infinita, e at hoje especialistas nesta rea renem esforos para obter uma garantia tcnica da construo de redes invulnerveis e intransponveis. At hoje, o nico consenso a que se chegou foi o de que o nico computador completamente seguro aquele que se encontra desligado do mundo e sem energia eltrica, trancado em um cofre e com um par de guardas armados do lado de fora do cofre.[HON01b] Existem ento iniciativas variadas para tentar aprimorar a segurana dos sistemas, de modo que possa se ter um equilbrio entre a conectividade das organizaes e sua vulnerabilidade digital. Contanto, no basta simplesmente que as ferramentas de segurana sejam aprimoradas para se evitar invases; necessrio que se encontre uma maneira de punir os invasores digitais, utilizando o respaldo legal encontrado na legislao brasileira. Assim, com este trabalho se busca analisar ferramentas de segurana de sistemas que possam ser utilizadas como comprovao de ataque, apresentando subsdios pra o processo legal, com nfase em honeypots e honeynets. No captulo 2, sero vistos os ataques digitais, as pessoas, que fazem tais ataques, e as motivaes psicolgicas, sociais e econmicas por trs do ato, expondo dois grandes grupos de invasores digitais. No captulo 3, v-se as trs principais classes de ferramentas de segurana de sistemas, suas vantagens e desvantagens.

20

No captulo 4, so apresentadas honeypots, honeynets e suas funes principais, a captura de trfego para estudo de ataques e proteo contra invases digitais. No captulo 5, encontra-se embasamento jurdico para anlise forense de ferramentas de segurana de sistemas e subsdios legais para o processo e conseqente punio dos criminosos digitais.

21

Captulo 2

Ataques, Atacantes e motivaes

A origem dos problemas de segurana reside na certeza de que a todo o momento h muitas pessoas mal intencionadas, buscando obter vantagens financeiras ou comerciais ou apenas para causar danos e incmodos a sistemas digitais. Neste captulo sero vistas as formas de ataque, as ferramentas utilizadas pelos invasores e o tipo de pessoa que pratica este tipo de ataque, com destaque para a figura do script kiddie.

2.1. O que um ataque


Segundo [SHI00], um ataque uma ao nociva segurana de um sistema que deriva de uma ameaa inteligente, sendo essa ameaa uma tentativa deliberada (no sentido de mtodo ou tcnica) de evitar os servios de segurana e violar a poltica de segurana de um sistema, podendo ser classificado, inicialmente quanto ao seu ao objetivo em passivo e ativo e tambm quanto sua origem em interna e externa. Em [CAM97a] e em [INN01] encontramos uma forma adicional de classificao de ataques baseada no grau de severidade do dano que o ataque pode causar, variando desde vandalismo virtual at negao de servio e destruio de equipamentos.

2.2. Classificao de ataques


Para auxiliar na compreenso dos riscos de ataque aos quais os sistemas digitais esto expostos, necessrio classificar os ataques conforme objetivo, origem e severidade. Conforme [SHI00, LAN03, CAM97a], existe uma fronteira virtual erguida pelas entidades na forma de sua Poltica de Segurana. Uma poltica de segurana um conjunto de regras que visa regulamentar a produo, acesso e trfego de informaes e recursos

22

computacionais em uma organizao e determinar formas de agir em caso de violao destas regras. Este conjunto de regras usado como limitador e para determinar o escopo das tcnicas e ferramentas de segurana de uma rede. As polticas de segurana trazem as expresses "permetros de segurana" e "domnios de segurana" como sinnimos, que sero usados a seguir. 2.2.1. Classificao de ataques conforme objetivo Ataque Passivo - Ataques passivos so aqueles que buscam obter informaes de um sistema, evitando influir funcionamento do sistema afetado. Furtos de senhas, de endereos de e-mails, espionagem digital, fraude bancria e esquemas de desvio de dinheiro so exemplos de ataques do tipo passivo. As entidades que so mais vulnerveis a este tipo de invaso so as instituies financeiras (bancos, companhias de carto de crdito), instituies privadas (empresas, sociedades) e departamentos governamentais. Estas instituies so mais visadas devido ao tipo de informao que trafegam, pois o mesmo representa ganhos imediatos para o atacante (por exemplo: desvio de fundos, espionagem industrial, hostilidades internacionais). Ataque ativo - Ataques ativos so os que buscam afetar o funcionamento dos dispositivos de uma rede, seja atravs da desativao de servios crticos em servidores, comprometimento de informaes do alvo, desperdcio de recursos, destruio de informaes e at comprometimento fsico dos recursos de um sistema. Ataques ativos so exemplificados pela pichao de sites, destruio intencional de dados, desperdcio de recursos do sistema (processamento, memria, documentos de impresso), suspenso dos servios e at desativao por completo de um alvo, e, potencialmente, danos fsicos ao equipamento envolvido. 2.2.2. Classificao dos ataques conforme a origem Ataque interno - Ataques internos so aqueles que so iniciados do lado de dentro do permetro de segurana que criado pelas polticas de segurana de uma organizao. So considerados ataques internos todas as atividades que visam abusar ou fazem mal uso dos recursos computacionais aos quais teriam direitos de acesso regularmente. Funcionrios

23

que utilizam os recursos da empresa para buscar informaes sensveis, vrus que contaminem mquinas de usurios para depois atacar servidores e aes de engenharia social, nas quais um indivduo mal intencionado se vale da confiana a ele garantida para tentar comprometer informaes so exemplos de ataques internos. Ataque externo - Ataques externos so todas as atividades nocivas ao funcionamento dos recursos computacionais que partam do permetro externo ao domnio da poltica de segurana da entidade atacada. Esse permetro diferencia os usurios internos dos externos e caracteriza os ataques externos como todos aqueles que so gerados por usurios no autorizados ou ilegtimos do sistema. Considera-se ento o ambiente da Internet como a origem da maioria dos ataques externos a um sistema devido ao alto grau de conectividade dos sistemas essa rede. No entanto, em uma rede corporativa possvel conceber-se diversos permetros de segurana, e ataques vindos de outros setores, apesar de estarem partindo da mesma rede fsica, seriam considerados como ataques externos. Exemplificando: um administrador de sistemas constri um domnio de segurana chamado "diretoria", e outro chamado "funcionrios". Se um usurio autorizado e autenticado no domnio "funcionrios" efetua uma ao de ataque contra o domnio "diretoria", esse ataque seria considerado como externo do ponto de vista dos domnios de segurana, mas interno do ponto de vista da rede corporativa (ambos os sistemas se encontram na mesma rede, porm separados por polticas e regras de segurana diferentes). Os agentes de ataque externo potenciais so os amadores que pregam peas baseadas em ferramentas automatizadas de ataque, criminosos virtuais organizados, terroristas internacionais e at entidades governamentais hostis. 2.2.3. Classificao de ataques conforme a severidade Outra forma de classificao dos ataques a que abrange o dano causado quando o ataque obtm sucesso. A severidade determinada de acordo com o tempo gasto na recuperao e prejuzo que o ataque consegue causar ao sistema afetado. O grau de severidade, no entanto, no uma informao quantitativa, mas sim qualitativa, e diretamente ligada ao objetivo principal da entidade atacada. Um ataque de baixa severidade para uma entidade pode ser de severidade crtica para outra. Durante a construo da poltica de

24

segurana, o administrador de sistemas deve determinar quais so os tipos de ataques que devem se encaixar em quais categorias. Durante o processo de caracterizao destes incidentes, o administrador deve responder a perguntas como: - Qual o principal objetivo do sistema em relao ao negcio da entidade? - Quanto tempo a entidade pode funcionar em caso de interrupo dos servios? - De todos os servios disponibilizados, quais so os mais importantes perante os objetivos da entidade? De posse destas informaes possvel determinar quais so as prioridades no caso de falhas mltiplas e contabilizar os danos sofridos em caso de ataques. Baixa Severidade - Ataques de baixa severidade so todos aqueles cujo acontecimento no atrapalhem o funcionamento da empresa. Considera-se tambm de baixa severidade os ataques que podem ser rapidamente reparados, com pouco ou nenhum impacto para entidade. Um ataque que causasse a deleo de arquivos importantes, mas os mesmos pudessem ser rapidamente recuperados do conjunto de backups do dia anterior, e a brecha que permitiu seu acontecimento fechada, seria considerado de baixa severidade. Alta Severidade - Ataques de alta severidade so aqueles que, em geral, dificultariam o funcionamento da empresa ou que gastariam tempo e ou recursos para o reparo. Epidemias de vrus na rede interna, quedas de servidores de arquivos e interrupes no acesso Internet so considerados eventos de alta severidade. Danos que incorram em reinstalao, reconfigurao ou perdas de dados sem backup e danos fsicos com necessidade de substituio de equipamentos envolvidos tambm so inseridos nessa categoria. Ataques Crticos ou Incapacitantes - Ataques Crticos ou incapacitantes so todos aqueles ataques cujo acontecimento representaria grandes prejuzos ou causariam a finalizao das atividades da entidade. Os ataques crticos so todos aqueles que afetam diretamente o negcio principal das entidades afetadas, e como tal, variam de cenrio para cenrio. Uma empresa financeira cujo cadastro de clientes furtado (com todas as informaes pessoais desde nome completo at carto de crdito, por exemplo), uma entidade de segurana nacional que tivesse seus servidores invadidos (posicionamento de tropas militares, por

25

exemplo) ou uma entidade formal que sofresse um ataque sua reputao atravs de emails forjados (oferecendo ofertas duvidosas ou difamando outrem, por exemplo) so todos exemplos de ataques crticos. Recentemente [TRE04, NOR04, MCA04] as empresas SCO Linux, Microsoft e Riaa sofreram ataques com este grau de severidade que foram contornados de maneiras prprias de cada entidade evitando assim a interrupo dos seus servios e prejuzos para suas operaes. Um exemplo de ataque incapacitante o atentado de 11/09/2001, onde diversas empresas deixaram de existir com a queda das Torres Gmeas de Nova York.

2.3. Formas de Ataque


Uma vez conhecendo os tipos de ataque necessrio saber como so feitos para poder finalmente proteger os sistemas contra os mesmos. Entender as formas de ataque e as ferramentas utilizadas so uma necessidade para se conseguir gerar ferramentas e tcnicas de preveno a novas aes. Duas formas de ataque so caracterizadas: ataques manuais e ataques automatizados. Ataques automatizados so mais comuns e responsveis pela maioria das invases e brechas em sistemas, enquanto ataques manuais so considerados potencialmente mais perigosos em seu escopo, devido maneira de sua execuo e experincia necessria por parte do atacante para a execuo de cada um [CAM97b, GER99, INN01, INN04]. 2.3.1. Ataques automatizados Ataques automatizados so aqueles que no demandam ateno humana para sua efetivao, podendo ocorrer apenas atravs da execuo de scripts e softwares especficos para invaso. [MEI03] Existem diversas formas de ataques automatizados: vrus, worms, cavalos de tria e scripts de invaso. Vrus - so sees de cdigo nocivo, que modificam programas originais atravs da insero deste cdigo no incio dos arquivos afetados. Vrus podem se propagar atravs dos recursos computacionais pela execuo de seus programas hospedeiros, afetando

26

assim novos alvos. So considerados ataques automatizados pois sua capacidade de replicao no depende da atividade do atacante, mas sim do atacado; quantos mais sistemas interagirem com o alvo infectado, maior ser a ao dos vrus. Vrus so detectados atravs de suas assinaturas, particularidades de cdigo conhecido, que programas especficos conseguem ler dentro dos arquivos afetados e efetuar a remoo apenas do cdigo virtico, restaurando o arquivo afetado a sua condio normal. Vrus no podem ser executados e sua propagao est ligada execuo dos seus hospedeiros. Worms diferem de vrus por serem programas completos, executveis

independentemente da existncia de um hospedeiro. worms se propagam atravs de mensagens de correio eletrnico, conexes de rede e camuflados em arquivos aparentemente inocentes. A existncia de worms tambm endereada pelos mesmos aplicativos que cuidam de infeces por vrus, porm para um worm no h correo, sendo a cura para a existncia de worms em um sistema a deleo dos mesmos. So considerados ataques automatizados pela mesma razo que os vrus: capacidade de propagao e de causa de danos independente da interao do atacante.

Cavalos de Tria - so softwares aparentemente teis e inofensivos, mas que em seu cdigo contm sees nocivas que buscam burlar polticas e sistemas de segurana, gerando vulnerabilidades que possam ser exploradas posteriormente pelo atacante. Cavalos de tria em geral no so detectados pela sua assinatura em arquivos contaminados (vrus) nem pela sua execuo em sistemas contaminados (worms), mas pelos seus efeitos. Quando um sistema contaminado por um cavalo de tria, esta aplicao maliciosa abre uma porta que aceita conexes externas por onde o invasor ir efetuar seu ataque com sucesso, porta esta conhecida em jargo tcnico com BackDoor. atravs da monitorao destes efeitos que os programas antivrus conseguem encontrar a presena de cavalos de tria em um sistema. A infeco por um cavalo de tria se baseia em ataques de engenharia social onde o usurio pode ser exposto a estes riscos atravs de sites aparentemente idneos, softwares e ferramentas condescendentes com pirataria de software e aplicativos de origem duvidosa. Worms podem conter em seu cdigo um

27

componente de cavalo de tria, permitindo que o atacante tenha a capacidade de infeco de um vrus com a abertura de brechas no sistema caracterstica do cavalo de tria. Scripts de invaso e Ferramentas de Explorao de falhas - so pacotes de softwares e instrues encadeadas para se fazer invases a sistemas. Estes scripts so criados por indivduos com alto grau de capacidade tcnica para explorar amplas listas de fragilidades e falhas conhecidas em sistemas. Estas falhas e fragilidade em gral so expostas pelo prprio criador do software envolvido, e subsequentes remendos ou concertos so desenvolvidos para o software, com o objetivo de evitar a falha conhecida. Porm, nem todos os administradores tm tempo ou disposio para atualizar seus sistemas [CAM97b], fazendo com que vulnerabilidades passem despercebidas pelo administrador. Os criadores de scripts, ento, criam ferramentas e receitas que visam exatamente atacar estas falhas conhecidas, buscando tomar o controle do sistema afetado. Uma vez que as ferramentas e scripts esto criados, os mesmos so disponibilizados na internet, em geral de maneira ruidosa para chamar a ateno de diversos possveis atacantes que vem nos scripts ferramentas para efetuar os ataques que eles prprios no conseguem, por incapacidade tcnica. Em geral, uma ferramenta automtica ter um ciclo de vida muito simples: 1-Escolha aleatria de um endereo; 2 - Sondagem do endereo; 3 - Descoberta de servios ofertados pelo host; 4 - Comparao dos servios ofertados pelo host com os servios que podem ser explorados pela ferramenta; 5 - Explorao das falhas e tomada do controle. Considerando-se o tamanho da internet e o ciclo acima apresentado, poderia se dizer que as chances de sucesso de uma ferramenta automatizada so pequenas. Porm, o computador domstico e a velocidade de conexo Internet, somado com o mtodo de disperso das ferramentas automticas, torna este ataque automatizado o mais perigoso de todos. Todos os dias equipamentos conectados Internet apresentam centenas de sondagens, de diversas fontes diferentes. Esse grande nmero de tentativas de invaso e sondagens dirias d-se por um motivo simples: o ciclo apresentado acima, em um computador domstico moderno com internet de alta velocidade, demora apenas alguns segundos; logo, o computador e o usurio comum podem executar sondagens a um grande nmero de dispositivos na internet a cada dia. Como o mtodo de invaso totalmente

28

automtico, o atacante pode apenas executar suas ferramentas de invaso em segundo plano, permitindo que as invases aconteam automaticamente. Esses invasores que se valem de ferramentas automatizadas e de receitas prontas de invaso so conhecidos como script kiddies, de modo que o termo script kiddie acaba inferindo uma caracterstica negativa, amadorstica ao invasor. Dentro da comunidade que invade sistemas os que se valem das ferramentas automticas so menos respeitados e reconhecidos que os atacantes que usam formas manuais de invaso. O amadorismo dos invasores cria um paradoxo interessante: o conhecimento tcnico necessrio para utilizar uma ferramenta automtica de mediano a pequeno, mas a quantidade de invases feitas automaticamente bastante superior das invases manuais. O invasor automtico no busca um sistema especfico, mas qualquer sistema; para o invasor automtico o objetivo completar uma invaso com sucesso, sem critrio de qual seja o sistema comprometido; se o sistema for interessante ao invasor, tanto melhor. Isso faz com que a grande quantidade de invases automticas represente muito menos prejuzo real que as invases manuais [CAM97a, CAM97b, GER99]. 2.3.3 Ataques manuais So diferentes em motivao e em perfil do executante dos ataques automticos. Um atacante manual escolhe cuidadosamente um alvo e um objetivo antes de selecionar a tcnica de invaso. Os motivos por trs do ataque podem variar, desde a simples pichao ideolgica at a mais sofisticada fraude eletrnica bancria. Uma vez que o alvo tenha sido escolhido e o objetivo seja determinado, o atacante manual ir sondar a rede escolhida minuciosamente, testando todos os sistemas alcanveis em busca de qualquer falha que no tenha sido remediada. Para o atacante manual, basta uma falha no atendida para que o ataque possa ser efetuado. Os atacantes manuais eventualmente constroem suas prprias ferramentas, para automatizar seu trabalho. Provavelmente, uma vez que a ferramenta tenha sido utilizada, esta ser disponibilizada na internet, aumentando os recursos dos amadores automatizados nas suas invases. Os atacantes manuais so mais nocivos exatamente por terem ao seu lado o conhecimento tcnico que falta aos invasores automticos, permitindo a eles a construo de

29

ferramentas para seus desgnios especficos, ferramentas estas que por vezes podem atacar fragilidades pouco conhecidas ou ainda inditas, minando todos os esforos em assegurar um sistema.

2.4. Ferramentas de ataque


Com as ferramentas de ataque devidamente classificadas, pode-se enumerar os efeitos particulares das ferramentas, e citar alguns exemplos de ferramenta capaz de atingir os objetivos dos invasores. 2.4.1. Classificao de ferramentas de ataque por efeito Um ataque pode ter diversos efeitos adversos em um sistema. Negao de servio, obteno de acesso indevido, aumento indevido de direitos e at controle total do sistema afetado. Sero enumeradas as ferramentas mais comuns para cada tipo de ataque e tcnica utilizada pelos invasores. Negao de servio - um efeito que os ataques podem causar nos sistemas afetados. Por definio, negao de servio "um conjunto de aes que leva indisponibilidade temporria de um determinado recurso computacional em um sistema" [HAC04]. Os ataques de negao de servio podem ser efetuados a partir de ferramentas simples, como o ping dos sistemas operacionais modernos, at vrus e worms que obrigam os sistemas afetados a tentarem numerosas conexes com alvos pr-determinados em janelas de tempo pr-determinadas [MEI03]. O funcionamento de um ataque deste bem simples: o atacante busca tomar tantos recursos quanto possvel do atacado, usando desde conexes normais at redirecionamento de IP para que o atacado gaste recursos processando os pacotes IP, at que o atacado perca toda a capacidade de atender as requisies, sendo "afogado" em um volume muito grande de informaes. Porm a capacidade de um atacante solitrio conseguir afetar um grande servidor de maneira definitiva pequena, causando uma evoluo nesta tcnica, que passou a ser conhecida como Negao de Servio Distribuda (DDoS - Distributed Denial of Service). A nova tcnica consiste em aumentar a quantidade de atacantes que tentam

30

afetar o mesmo alvo simultaneamente, fazendo com que bandas de dados e capacidade de processamento sejam sobrepujados mais rapidamente. Os DDoSs ento, podem ser iniciados manualmente por um grupo organizado de atacantes, ou atravs de vrus e worms que infectam um grande nmero de sistemas na Internet, contendo em seu cdigo instrues para efetuar ataques dentro de uma janela de tempo especfica contra sistemas especficos da Internet [CAM97b]. Ataques de negao de servio, no entanto, tambm podem ser lanados internamente em um sistema, de modo que a insero de cdigo nocivo venha a prejudicar a capacidade de processamento do alvo, requisitando, por exemplo, servios recursivamente a uma mquina, de modo que a mesma pare de responder. Recentemente um worm, chamado de MYDOOM, varreu a internet infectando usurios do software de correio eletrnico Ms-Outlook. Esse worm continha instrues para efetuar um ataque de negao de servios contra o site da empresa de software SCO Unix (www.sco.com) no espao de tempo de uma semana. Esse ataque obrigou a SCO a mover todo o seu site para outro endereo, causando prejuzos e transtornos para o atacado. Este worm causou este prejuzo atravs da aplicao da tcnica de DDoS [TRE04, NOR04, MCA04]. Outras ferramentas: Portfuck, Smurf & Fraggle, Teardrop, Netdrop, Syndrop, b0nk! . Enumerao de portas - so softwares auxiliares para o invasor. Uma vez apontados para um sistema cujo o IP seja conhecido, estes softwares tentam conexes em todas as suas portas, buscando identificar servios e verses de software para reportar ao invasor. Uma destas ferramentas o Netcat, que conta entre suas funcionalidades a capacidade de ser apontado para um bloco de endereos, automatizando o trabalho de se identificar sistemas e portas disponveis em uma rede. Outras ferramentas: Bindery, b1nd1ng, Epdump, l3gion, netviewX, nslist, snlist, userDump, Userinfo. Obteno de acesso - a obteno de acesso tambm um objetivo do invasor. Por obteno de acesso pode-se entender que o atacante vai ter ao seu alcance um nome de usurio e uma senha vlida no sistema, sendo que esse nome de usurio no obrigatoriamente o nome de um usurio com privilgios de administrador do sistema,

31

pois muitos ataques podem ser efetuados para a elevao de privilgio. Ferramentas de obteno de acesso so quebradores de senha, farejadores de rede e softwares que buscam conexes em sistemas cuja configurao de compartilhamento de dados no esteja segura. Um quebrador de senha, por exemplo, L0phtcrack's vai tentar efetuar logons em um servidor atravs de uma combinao de mtodos de gerao de senhas, tanto por fora bruta, onde o software tentar "adivinhar" a senha, quando pela utilizao de dicionrios de palavras, para efetuar tentativas baseadas em comportamento humano, levando em conta a mentalidade do usurio ao cadastrar suas senhas. Outras ferramentas: Netbios Auditing Tool, Nwpcrack, SMBGrind, Sniffit. Aumento de privilgio - aumento de privilgio um passo das aes de um ataque. O atacante busca o aumento de privilgio a partir de uma conexo que j se encontra efetuada no sistema a ser comprometido, conexo esta feita atravs de um usurio legtimo do sistema (o usurio e senha podem ter sido obtidos anteriormente com o uso de ferramentas de obteno de acesso). O aumento ou elevao de privilgio ocorrem por falhas em servios ou softwares disponveis no sistema, ou por problemas com a configurao de segurana do sistema. A ferramenta getadmin2k um utilitrio de linha de comando para Windows 2000 que permite, em se executando o utilitrio, acessar diretamente as informaes contidas no active directory, permitindo alterar qualquer senha facilmente. uma ferramenta poderosa, apesar de deixar pistas claras da invaso do sistema. Backdoor - so softwares que uma vez instalados em sistemas, os deixam vulnerveis conexo remota e controle total da mquina, atravs da abertura de portas de conexo. Backdoors costumam ser inseridos em ferramentas automticas de invaso pelos invasores manuais e construtores de ferramentas de invaso que fazem isso com o intuito de tornar os sistemas utilizados pelos script kiddies susceptveis s invases dos atacantes experientes. Ferramentas como o NETBus permitem diversos graus de interao com o sistema afetado, desde acesso aos dispositivos fsicos (por exemplo: imprimir remotamente uma mensagem ameaadora na impressora local do atacado) at a desativao do sistema afetado. Outras ferramentas: Jcmd, NTFSdos, Pandora, Revelation.

32

Rootkits - so as ferramentas prediletas do script kiddie [GER99]. So conjuntos de softwares que quando apontados a um host, trabalharo sozinhos at conseguirem acesso administrativo ao sistema ou esgotarem suas capacidades. Muitos rootkits, por serem feitos para serem facilmente usados, contm backdoors, que acabam deixando vulnerveis os sistemas dos invasores. Os rootkits no servem apenas para se obter acesso administrativo a um host. A maioria dos rootkits contm diversas ferramentas e aplicativos, para serem usadas em uma invaso. Outras ferramentas: Cygwin32 , Xrootkit

Apagadores de Rastros - uma vez efetuado um ataque, o atacante precisa partir sem deixar rastros de que esteve ali, deixando apenas os efeitos da invaso. Existem ferramentas automatizadas, mas no 100% eficazes que podem modificar arquivos de log, alterar histricos de sistema operacional e at recalcular checksum de arquivos, evitando que os arquivos modificados paream modificados. Wipe e zap so utilitrios de linha de comando que funcionam assim.

Sondas (Scanners) - uma sonda um software capaz de testar um host ou conjunto de hosts contra um grupo de vulnerabilidades conhecidas. Esta capacidade pode ser usada em duas maneiras antagnicas: ao passo que o administrador pode se utilizar desta ferramenta para sondar a sua rede por vulnerabilidades em seu sistema com o intuito de repar-las, o invasor efetuar a sondagem buscando um alvo em potencial. H vrios scanners, tanto comerciais quanto livres, mas todos funcionam sobe o mesmo princpio de sondar o IP, sondar a porta, verificar sistema em execuo na porta e reportar. Outros softwares: scan, Solarwinds, strobe, upscan

2.5. Tcnicas de preveno


A melhor preveno contra invases gerar e respeitar uma poltica de segurana que abranja atualizao de softwares, controle de senhas, controle de recursos disponibilizados na rede e acesso fsico ao sistema e pelo uso de ferramentas de proteo de sistemas como Firewalls e IDSs;

33

2.6. Contra ataque


O contra-ataque para casos de invases no pode ser dado com os mesmos mtodos empregados pelo invasor. O contra-ataque deve ser feito de maneira legal, atravs de um processo civil utilizando tcnicas forenses para extrair dos sistemas invadidos provas do ataque e do dano causado, evitando assim que o atacante comprometa novos sistemas. Ser avaliada para os fins forenses a tecnologia de Honeypots.

2.7. Tipos de Atacante e Motivaes


J foram vistas as ferramentas utilizadas para se efetuar invases. Por trs do uso destas ferramentas est uma pessoa, que em geral um adolescente, do sexo masculino, com capacidade intelectual acima da mdia, que busca invadir sistemas ou para ganho prprio, atravs de fraudes bancrias, por exemplo, ou para ganho de notoriedade e satisfao pessoal, ainda que esta notoriedade seja apenas reconhecida por um seleto grupo[HON02a, MEI04, HAC04].

2.8. Concluso
Uma vez vistas as formas de ataque e a facilidade com a qual os atacantes podem lanar ataques esmo, juntamente com a falta de propsito na maioria dos ataques e a fragilidade dos sistemas que so pouco ou mal administrados. Conhece-se ento dois tipos de invasores, ambos igualmente perigosos: o script kiddie e o verdadeiro hacker. Ambos so perigosos, pois o primeiro se encontra com facilidade na internet, sendo muito numeroso e o segundo tem ao seu alcance ferramentas e experincia computacional.

34

Captulo 3

Ferramentas de Segurana

Ferramentas de segurana so recursos utilizados para fornecer ao ambiente da rede maior segurana na gerao, trfego e administrao dos dados. Como visto no captulo 2, a maioria dos sistemas computacionais est exposta a um grau varivel de risco de ataques, sendo estes ataques cada vez mais complexos e com possibilidades de dano maiores. Um administrador pode dispor de 3 ferramentas bsicas: firewalls, sistemas de deteco de intruso e honeypots [SIM99], discutidos no prximo captulo.

3.1. Firewalls
Firewalls foram criados para administrar e oferecer mais segurana ao trfego que ocorre entre as redes. O nome firewall usado em aluso s paredes corta-fogo que, em caso de incndio, mantm ambientes isolados das chamas. Esta comparao usada para demonstrar a implementao da firewall, dando idia de que o ambiente externo a ele inseguro (chamas) e o interno seguro. Todos os firewalls so implementados na transio entre redes pelas quais os pacotes precisam trafegar, analisando ento a conformidade do pacote, conformidade esta que determinada atravs de comparaes internas do firewall. Estas comparaes so baseadas em listas de regras que se encontram dentro do firewall e que determinam a validade ou no de um segmento especfico de trfego.

35

Por definio diz-se que firewalls so pontos de passagem entre redes que restringem trfego de dados entre redes diferentes, criando um permetro de proteo e oferecendo maior segurana para a rede dita "interna", enquanto protege os recursos da rede interna das ameaas de segurana da rede externa, tipicamente protegendo uma rede menor (LAN corporativa ou um host simples) de trfego indevido da rede maior (Internet, por exemplo) e restringindo o acesso dos usurios da rede interna apenas aos recursos a eles autorizados na poltica de segurana da organizao [SHI00], enquanto gera registros da atividade da rede e gera notificaes quando condies determinadas de segurana so atingidas. "Todo o Firewall to seguro quanto sua configurao permitir que seja" "Every Firewall is as safe as its configuration allows it to be" [CHE97] Os firewall podem ser classificados sob diversos aspectos: funcionamento, interao com o trfego passante e arquitetura de implementao[GAR99, CHE97, FIR02]. 3.1.1. Classificao de Firewall segundo o funcionamento Tanto firewalls de software quanto de hardware precisam ter configurados em seus sistemas um conjunto de aes a serem tomadas quando acontecerem condies especficas no trfego da rede. A forma de configurao destas aes uma das caractersticas fundamentais dos firewalls a) Funcionamento baseado em regras - firewalls cujo funcionamento se baseiam em regras so ferramentas que, para cada pacote que passa pelas interfaces de rede do firewall, um conjunto de testes efetuado baseado em uma lista de regras configuradas pelo administrador como endereo de origem, endereo de destino, porta, tamanho do pacote, contedo do pacote, tamanho do frame, data e hora do trfego. [CHA97, CHE97] Firewalls baseados em regras oferecem maior capacidade de filtragem passiva, permitindo a um administrador maior controle sobre o trfego, porm demandam muito mais esforo para implementao, configurao e administrao. Este tipo de funcionamento tambm no protege a rede de trfego cuja configurao no esteja feita corretamente. O pacote IPFW um exemplo de firewall baseado em regras muito usado atualmente. [CHA97].

36

b) Funcionamento baseado em aplicaes - firewalls de funcionamento baseado em aplicaes so construdos visando dar mais facilidade ao administrador do sistema, automatizando tarefas de criao de regras em conjuntos de aplicaes. Aplicaes so softwares especficos cujo trfego possui uma assinatura conhecida pelo firewall, e a prpria implementao do software interno do firewall cuidar de administrar as mudanas de estado, portas e tipos de dados para as aplicaes autorizadas. Para que o firewall se mantenha seguro, o administrador necessita interagir com o firewall sempre que uma nova aplicao for trafegar na rede, e caso seja criada uma aplicao nova cujos dados no sejam conhecidos pela implementao do firewall, este trfego estar desprotegido ou bloqueado. O Checkpoint Firewall-1 e o Microsoft Internet Security and Aceleration so exemplos de firewalls baseados em aplicaes [CHE04a, MIC04]. 3.1.2. Classificao de Firewall segundo o Grau de Interao com o trfego Quando implementa-se um firewall em uma rede, presume-se que o firewall ser o nico ponto de conexo entre a rede protegida e o meio externo. Logo considera-se que todo o trfego que ocorre entre as redes passa obrigatoriamente pelo firewall. Como estes pacotes sofrem uma anlise do software de firewall, podemos tambm classificar a ferramenta conforme o seu grau de interao com os pacotes. [GAR97, WIL03] a) Filtros de Pacotes - so tcnicas de firewall antigas e menos eficazes que as tcnicas de firewall mais modernas. So implementados na camada de rede de um dispositivo mediador que impede, em nvel de endereo e porta, o acesso aos dispositivos que estejam configurados em sua lista de regras. Esta lista de regras precisa ser criada e administrada manualmente, porm como no h monitoramento de estado da conexo e nem inspeo de pacotes, pacotes de dados destinados a endereos e portas liberados na rede, porm cujo contedo seja nocivo, alcanaro o endereo a ser atacado como se no houvessem ferramentas de segurana na rede. Filtros de pacotes so implementados como a primeira camada de segurana de uma rede, geralmente diretamente no sistema operacional do roteador de conexo externo, permitindo que apenas as portas autorizadas explicitamente trafeguem na rede (para

37

configuraes restritivas) ou negando o acesso a portas especficas (para configuraes permissivas). Por oferecerem regras simples do tipo "autoriza ou nega o acesso", filtros de pacotes tem boa performance, com pouco impacto na velocidade da rede. Um exemplo genrico de regra de filtro de pacotes seria: "External: Deny-Al" "External: Allow port 80 to host 192.168.7.33" "External: Allow port 21 to host 192.168.7.33" Esta regra negaria primariamente todas as conexes entrantes (configurao restritiva) na rede, permitindo apenas que a porta 80 (servidor WEB) e a porta 21 (servidor FTP) fossem acessados, porm a rede estaria desprotegida contra ataques em nvel de aplicao contra estes 2 servios. b) Gateway de Camada de Aplicao - os gateways de camada de aplicao, quando comparados a filtros de pacotes, aumentam a segurana dos firewalls atravs da anlise de todas as camadas da aplicao, trazendo o aspecto de anlise de informaes ao trfego de redes. Este objetivo atingido atravs da utilizao de softwares intermedirios, chamados de Proxy de Aplicao. Proxys de aplicao so servidores que so executados no host firewall, servindo para receber as conexes internas em uma das suas interfaces e efetuando conexes externas em uma outra interface. Esses softwares intermedirios quebram a arquitetura cliente servidor, efetuando conexes seguras entre clientes locais de um lado e servidores remotos no outro lado. H dois problemas fundamentais nesta arquitetura: primariamente a escalabilidade limitada, pois todas as conexes efetuadas pelos clientes internos requisitam recursos do servidor de firewall, facilmente causando uma situao de concorrncia no recurso do firewall; adicionalmente, todas as aplicaes acessadas pelo cliente necessitam de um servidor intermedirio apropriado, fazendo com que o suporte a novas aplicaes e servios seja limitado. As vantagens desta implementao so contrapostas pela concorrncia de recursos no firewall e pelo suporte limitado a novas aplicaes, causando desde lentido no trfego at impossibilidade de acesso a servios externos da rede. [CIS03]

38

c) Inspeo Statefull - considerada uma evoluo dos filtros de pacotes e no dos Gateways de camada de aplicao. A inspeo statefull ocorre tambm na camada de redes, onde cada pacote trafegado ser analisado pelo seu contedo, anotando o trfego em tabelas de estado que contm informaes como horrio original, IP de abertura de conexo, IP de destino, porta de destino e contedo de alguns pacotes. A anlise destas tabelas de estado ento, combinada com os filtros de pacotes, aumenta a segurana da rede. Se com filtros de pacotes havia a autorizao de trfego apenas para as portas liberadas, com a inspeo de pacotes temos a anlise do trfego em busca de contedo que seja inseguro ou nocivo. Inspeo Statefull tambm a maneira mais apropriada de se ter o funcionamento baseado em aplicaes, visto que vrias aplicaes no tem regras facilmente configurveis, por exemplo, servios baseados em RPC cuja alocao de portas dinmica, causando transtornos para a administrao de redes. A inspeo statefull no quebra a arquitetura cliente servidor, e o custo de processamento causado pelo trfego menor do que o dos gateways de camada de aplicao, porm o funcionamento correto da inspeo requer que o software de anlise das tabelas de estado esteja sempre atualizado, para que novas e mais sofisticadas tentativas de ataque no consigam sucesso em afetar os sistemas da rede protegida, requerendo assim um grau de administrao constante, assim como os servios de anti-vrus [CHE04c, GHU02]. d) Application Inteligence (Aplicaes Inteligentes) - um conjunto de regras avanadas, ainda em fase de pesquisa e desenvolvimento que busca aprimorar os firewalls baseados em aplicaes com inspeo Statefull, atravs da aplicao de medidas de segurana criadas especificamente para bloquear ataques sofisticados contra aplicaes. Application Inteligence tambm funciona na camada de redes sem quebrar a arquitetura cliente-servidor, porm possui capacidades relativas a vrias camadas da pilha OSI, aprimorando a segurana da rede toda, visando fornecer o recurso de firewalls tambm para redes convergentes. As camadas cobertas pelo aplication inteligence so aplicao e apresentao, sesso, transporte e rede. Na camada de aplicao e apresentao, um firewall com recursos de application inteligence pode monitorar e bloquear aes nocivas como cabealhos corrompidos em URLs, restringir comandos HTTP inseguros, efetuar busca de DNS reverso, restringir e reforar a formatao correta de comandos do tipo MAIL e RCPT, bloqueio de mltiplas requisies de

39

cabealhos e comandos do tipo "content-type", restringir transferncia entre zonas de DNS, reforar os parmetros mandatrios do protocolo H.323 (Protocolo de Definio do DNS) [SHI00]. Na camada de sesso, busca-se prevenir mapeamentos de portas RPC, validao de validade de certificados digitais trocados, e a preveno de vulnerabilidades em segredos prcompartilhados. Na camada de transporte os fragmentos de pacotes como FIN sem ACK e SYN so bloqueados, assim como verificao de campos de tamanho de pacotes UDP, verificao de requisies e respostas UDP, reforar o 3-way-handshake, bloqueio de Fingerprint de sistemas operacionais. Na camada de rede o application inteligence bloqueia pacotes ICMP com tamanho excessivo, restringe fragmentao IP-UDP, avalia os pacotes para que seu tamanho seja realmente o valor postado no campo Header do pacote. Application inteligence encontra-se ainda em pesquisa e em fase de aprimorao, logo hoje ainda h poucos softwares com esta capacidade e o custo em processamento de todas estas caractersticas ainda muito alto [FIR02, CHE04b]. 3.1.3. Classificao de Firewall segundo a Arquitetura A arquitetura de implementao do firewall tambm um fator de anlise importante. Por arquitetura de implementao entende-se a posio relativa que o firewall possui em relao s redes protegidas, aos recursos de conexo e s redes externas. A anlise da arquitetura de implementao de firewalls traz os conceito de Bastion Host e DMZ, que precisam ser explicados: Bastion Hosts so servidores cuidadosamente implementados e de alta segurana que mantm contato com a rede externa, conseqentemente estando expostos aos riscos de ataques. DMZs so reas intermedirias entre a rede interna e externa onde os servidores que recebem trfego externo esto hospedados de maneira separada da rede interna de uma corporao. a) Dual Homed Host - so Bastion hosts nos quais o firewall implementado, expondo sua interface externa e desativando o roteamento entre as interfaces externas e as interfaces

40

internas. Assim, conexes externas chegariam at o Bastion host apenas, e conexes internas teriam que obrigatoriamente passar pelo Bastion Host. Como mostra a figura 1, entre a internet e um Dual Homed host, poderia ser implementado um conjunto de filtros de pacotes, no roteador mais prximo, por exemplo, para diminuir as possibilidades de ataques, diminuindo a necessidade de filtros de pacotes no prprio bastion host. Esta arquitetura gera um ponto focal na rede, com vantagens e desvantagens: O trfego centralizado permite uma administrao focalizada em um nico host, porm o excesso de trfego em um nico host pode causar condies de concorrncia e caso o bastion host seja tomado por um invasor, toda a rede estar vulnervel ataques.

Figura 1 - Arquitetura Dual Homed Host

b) Screened Host conforme a figura 2, essa arquitetura apresenta uma conexo externa com ligao apenas a um host interno, que um bastion host. Este host estaria conectado rede interna, e no entre as redes, e o firewall teria que ser implementado no roteador, porm haveria pacotes externos entrando na rede local. Apesar de ser aparentemente menos seguro do que os dual homed hosts, este tipo de arquitetura permite o acesso aos servios do bastion host sem causar condies de concorrncia na rede, uma vez que todo o trabalho de filtragem e anlise de trfego ocorre no roteador.

41

Figura 2 - Arquitetura Screened Host

c) Screened Subnet - adicionam mais uma camada segurana de redes atravs da utilizao de DMZ para hospedagem dos bastion hosts e de um firewall adicional que separa a rede interna da DMZ. Em uma screened subnet um firewall separa a rede externa da DMZ que hospeda os servios que podem ser acessados pela rede externa, como por exemplo, um servidor de correio corporativo. Dentro da DMZ est tambm o bastion host que contm o firewall que d acesso da rede interna DMZ e roteia as requisies da rede interna para o roteador da DMZ. Esta arquitetura de screened subnets permite maior segurana a uma rede, uma vez que as tentativas de invaso sero efetuadas contra bastion hosts que no possuem acesso rede interna, e que o bastion host de sada da rede protegido por filtros de entrada no roteador externo. 3.1.4. Problemas inerentes da ferramenta Todas as implementaes de firewall apresentam fragilidades especficas; filtros de pacotes no conseguem proteger portas autorizadas, firewall de aplicao requer muito recurso computacional, inspeo statefull precisa de bases de dados de assinaturas atualizadas diariamente e application inteligence ainda se encontra em fase de pesquisa e requer muito poder de processamento.

42

3.2. IDS - Sistema de Deteco de intruso


IDSs so ferramentas de segurana automatizadas que visam proteger a rede atravs da monitorao do trfego de dados, gerando alarmes e informando sobre aes que violem a poltica de segurana de uma organizao [INN01]. A tecnologia dos IDS difere em escopo e em objetivo do firewall e serve como complemento essa ferramenta. Ao passo que os firewalls situam-se s margens das redes, nos pontos de transio entre uma rede e outra, os IDS precisam estar imersos na rede, com grande visibilidade para todos os pacotes que trafegam no meio. Onde os Firewalls buscam evitar ataques, IDS so criados tomando por base o fato de que, mais cedo ou mais tarde, haver um ataque que ser capaz de burlar o firewall e penetrar na rede interna, onde o IDS deve detectar esta intruso e agir de acordo para emitir alarmes [SNO04]. Se, anlogamente, um firewall a porta de um cofre, o IDS o sensor de movimento que monitora a sala do cofre. A porta do cofre protege seu interior do meio externo, mas o sensor de movimento, ao detectar uma presena na sala do cofre, dispara os alarmes apropriados [ROB98]. Um IDS ento pode ser resumido como "um sistema digital capaz de monitorar o trfego de um segmento de rede e classific-lo como seguro e inseguro, e, em caso de apontamento de trfego inseguro, determinar a insegurana do mesmo e alertar a administrao da rede" [IDS04]. 3.2.1. Caractersticas desejveis em IDSs Para que se possa considerar a implementao de IDSs como confivel, necessrio exigir da implementao um conjunto de caractersticas desejveis, propriedades que o IDS, como sistema automatizado e de alarmes, deva possuir [CDI04]: Simplicidade de configurao - os IDSs, preferencialmente devem ser simples e rpidos de se configurar, demandando pouco tempo para sua implantao numa rede, evitando que se desperdice recursos importantes na instalao de uma ferramenta auxiliar de segurana.

43

Simplicidade de administrao - estas ferramentas devem gerar alarmes que sejam facilmente interpretados pelo administrador do sistema, evitando complicaes para a parte humana do processo.

Independncia de operao - a ferramenta no deve demandar operao manual, e salvo atualizaes e intervenes administrativas, deve ser capaz de atender ao seu ciclo de vida sem interao humana (por ciclo de vida temos o conjunto de aes "captura de dados, anlise, deciso, ao apropriada" ).

Tolerncia a falhas - como uma ferramenta automatizada e no assistida, espera-se que a ferramenta no tenha travamentos nem chegue em condies de parada; caso estas condies aconteam, a ferramenta deve ignorar o erro, assumir a falha encontrada e resumir sua operao normal. Nesta caracterstica tambm inclui-se a capacidade de retorno das operaes com uma reinicializao do sistema.

Segurana o sistema deve ser seguro, de modo que tentativas de subverso ao seu sistema de anlise de invases sejam infrutferas; Tambm no devem estar hospedados na mesma mquina quaisquer servios que possam vir a ser explorados por um ataque direto ao sistema de deteco de intruso. Por estar inserido na rede, os sistemas de deteco de intruso esto muito prximos dos hosts em produo e em caso de comprometimento do mesmo, o grau de risco muito grande para os sistemas de produo, pois o host que executa o IDS est diretamente conectado rede, fazendo com que o comprometimento do mesmo exponha toda a rede ao invasor.

Baixo impacto no funcionamento do sistema - os sistemas de deteco de intruso devem funcionar como monitores de trfego, e no devem gerar trfego na rede que venha a prejudicar a operao normal dos sistemas, e nem estar instalados em mquinas de produo pois a anlise de trfego demanda grande carga de processamento.

Analisar padres - seja atravs de bases de dados de assinaturas com informaes sobre intruses ou atravs da configurao meticulosa, a ferramenta de deteco de intruses deve ser capaz de separar, entre todo o volume de trfego de um segmento especfico de rede, aquelas informaes que podem constituir riscos para a segurana da organizao.

44

Discrio - um sistema de deteco de intruso deve se manter em modo promscuo em uma rede, ouvindo requisies e respondendo ao menor nmero possvel de pacotes, de modo que um possvel invasor no seja alertado da presena do sistema automatizado. Assim como as cmeras de vigilncias so pequenas e difceis de se distinguir, os IDS devem ser discretos e sua operao na rede no deve deixar pistas de que os h monitorao nos segmentos de rede.

Resistente a erros de monitorao - um sistema automatizado de deteco de intruso suscetvel a trs tipos de erro: Falsos Positivos, Falsos Negativos e erros de subverso. Falsos Positivos so ocorrncias de trfego que a ferramenta classifica como ataques, mas no so; Falsos negativos so ocorrncias em que o trfego uma ameaa, mas a ferramenta no foi capaz de captar ou interpretar corretamente e erros de subverso so ataques diretos ferramenta que geram falsos negativos ou que fazem com que a ferramenta perca a capacidade de interpretar tentativas de invaso corretamente.

3.2.2. Classificao de IDS Classificamos as ferramentas de deteco de intruso com relao sua posio perante a rede (NIDS e HIDS) e com relao ao seu escopo e tempo relativo de funcionamento (SIV e LFM). 3.2.2.1. NIDS Sistemas de deteco de intruso baseados em rede (Network based Intrusion Detection Systems) so ferramentas IDS que ficam hospedadas em mquinas de um segmento especfico da rede com o objetivo de monitorar todo o trfego de rede, analisar o contedo do trfego e emitir alarmes caso o trfego apresente risco, expondo origem, destino e contedo do pacote, de maneira a simplificar o trabalho de anlise do administrador. Um NIDS funciona como um sniffer de redes, em modo promscuo, e possui uma srie de requisitos para poder ser eficiente; o NIDS precisa ter visibilidade para todo o segmento alvo, o hardware disponibilizado para a ferramenta precisa ter capacidade de processamento equivalente ao trfego do segmento, o sistema de deteco precisa ter sua base de

45

conhecimentos atualizada e finalmente um lugar seguro onde armazenar os histricos de registros do trfego marcado como ataque. A ferramenta SNORT um exemplo bem explorado de NIDS [SNO04] 3.2.2.2. HIDS Sistemas de deteco baseados em hosts tem um escopo mais definido e tendem a ser utilizados em ambientes controlados, geralmente sendo aplicados em cenrios onde o trfego gerado pelos usurios no to importante quanto o trfego em servidores de misso crtica. Sistemas de deteco de intruso baseados em hosts ento protegeriam apenas o host onde esto implementados, e monitorariam todo o trfego gerado neste servidor. Existem 2 caractersticas negativas em um HIDS: a coleta e anlise de dados requerem tempo e poder de processamento, tempo esse que vem da concorrncia contra os processos de misso crtica da organizao; os histricos de registro de trfego nocivo precisam ser armazenados em um local separado do HIDS, para evitar que um eventual invasor bem sucedido possa tomar o controle do host do IDS e ainda alterar as provas da sua invaso. A ferramenta SEBEK um exemplo de HIDS. [SEB03] 3.2.2.3. SIV Existem ferramentas que podem ser executadas em hosts para se verificar se, em caso de invaso, o invasor efetuou alguma modificao em comandos crticos do sistema, deixando para trs marcas da invaso. Um SIV (System Integrity Verifier) uma ferramenta capaz de verificar a integridade do sistema invadido atravs de um banco de assinaturas e da comparao desse banco de assinaturas com os arquivos monitorados do sistema afetado. Ferramentas SIV podem funcionar em tempo real, verificando os arquivos monitorados em tempos pr-determinados ou ainda funcionar conforme a demanda do administrador do sistema. O software Tripwire um exemplo de SIV, funcionando tanto baseado em bancos de assinaturas locais quanto conectando em servidores remotos de assinaturas. [ROB02]

46

3.2.2.4. LFM Assim como os NIDS que monitoram o trfego de rede, ferramentas automticas de monitorao de registros histricos podem ser aplicadas para se verificar de sistemas bem conhecidos da rede, buscando informaes que caracterizem mal uso dos sistemas. Monitores de logs podem incorrer no problema de apresentarem demora para analisar todo o trfego, por vezes deixando de emitir os alarmes apropriados em tempo de se evitar danos aos sistemas de rede. O software "swatch" um exemplo de um LFM [ROB02]. 3.2.3. Mtodos de deteco de intruso Uma vez conhecidas as caractersticas da ferramenta de deteco de intruso, possvel se classificar a ferramenta de acordo com o mtodo utilizado pela mesma para caracterizar o grau de periculosidade de um fragmento de trfego especfico. Existem duas maneiras de se classificar os mecanismos de tomada de deciso de um sistema de deteco de intruso: deteco de intruso baseada em anomalia e deteco de intruso baseada em conhecimento [ROB98, IDS04, RNP99]. 3.2.3.1. Deteco de intruso baseada em assinatura Considera-se como o conhecimento de uma ferramenta automatizada de deteco de intruso todas as informaes s quais a ferramenta tem disponibilidade para comparao com o trfego de rede, anlise de criticidade e tomada de deciso. O conhecimento em geral proveniente de uma base de dados, em geral atualizada pelo mantenedor do software de IDS utilizado pela organizao e demanda constante atualizao para conseguir apurar todas as invases mais modernas, de maneira anloga aos servidores de anti-vrus. Este conhecimento a informao que a ferramenta de segurana baseada em assinaturas usa para analisar uma seo especfica de trfego de rede e determinar se a seo nociva ou faz parte de um cdigo nocivo. Como a ferramenta considera que todo o trfego inofensivo a no ser que seja explicitamente caracterizado como inseguro ou nocivo, considera-se que a ferramenta tem um

47

alto grau de preciso sem gerar falsos alarmes, porm sua capacidade de entender e de reportar todos os eventos inseguros depende do grau de compleio da base de dados de assinaturas, vulnerabilidades e explorao de falhas. Ferramentas baseadas em conhecimento, no entanto, no so eficientes na identificao de mau uso ou abuso de recursos; Podemos exemplificar da seguinte maneira: Um usurio acessa uma planilha de cargos e salrios da empresa, e nela faz uma modificao; esta ocorrncia normal para um dia comum de trabalho, mas se o mesmo evento ocorresse s 3 da manh entre um sbado e um domingo, por exemplo, um IDS baseado em assinaturas no caracterizaria a ao como suspeita [IDS04]. 3.2.3.2. Deteco de intruso baseado em anomalia Ferramentas baseadas em anomalias consideram que possvel mapear as atividades e o trfego de uma rede de modo a determinar tudo o que padro e apontar todo o trfego que anmalo. Este mtodo capta as informaes que compe os padres do funcionamento da rede atravs de mtodos como sniffers e anlise de registros histricos, e uma vez que o modelo de trfego esteja pronto, todo o trfego comparado ao modelo. Com isso, diz-se que o mtodo de deteco baseado em anomalia vai ter um grau de preciso maior que os mtodos baseados em conhecimentos, servindo inclusive para detectar novas formas de ataque, porm ao custo do aumento da quantidade de alarmes falsos. As ferramentas ento acabam sofrendo perante o grande volume de informaes incorretas (falsos positivos), necessidade que as redes apresentam de mudar de caracterstica de trfego, servios e equipamentos e devido ao fato de que a rede pode ser atacada exatamente no momento da criao da base de comportamentos, ento o ataque seria mascarado como funcionamento comum, e no como anomalia. [ROB02] 3.2.4. Limitaes do IDS Existem caractersticas limitantes nas ferramentas de deteco de intruso. Segmentao da rede, limitao de recursos, ataques desferidos contra o prprio IDS e tcnicas especficas de evaso.

48

O modelo CIDF possui falhas ao considerar que pacotes de dados contm informaes suficientes para se interpretar e atribuir um grau de periculosidade ao trfego analisado e tambm ao considerar que o computador de destino ir interpretar os pacotes enviados da mesma maneira que o IDS ir. Estas limitaes podem ser exploradas e a ferramenta pode ser fragilizada, suspendendo assim sua capacidade de interpretar o trfego corretamente. [RNP99, IDS04, ROB98] Segmentao de rede - uma necessidade moderna. Devido ao crescimento das redes ethernet, a aplicao dos switches em redes cada vez mais comum. Em uma rede segmentada, um NIDS tem alcance limitado ao domnio de broadcast que atingvel. Esta fragmentao afeta os NIDS, e pode ser evitada atravs do planejamento da implementao do IDS, garantindo o seu posicionamento em local de alta visibilidade da rede, por exemplo em um Bastion Host posicionado diretamente na DMZ. Limitao de recursos - um IDS tambm possui recursos de processamento, armazenamento e memria que so utilizados para se analisar o trfego. Um atacante que possua recursos suficientes pode ser capaz de sobrepujar a capacidade de processamento da ferramenta. Um motivo adicional para a limitao de recursos ser um risco real que comparativamente, se o atacante gasta aproximadamente 5 ciclos de processamento para gerar um pacote aleatrio, a ferramenta de IDS gastar 7 ciclos de processamento para interpretar este mesmo pacote [ROB98]. Ataques contra o IDS - as ferramentas IDS tambm so frgeis e suscetveis a ataques. Uma ferramenta IDS que venha a ser comprometida em uma rede apresenta um grau de risco ainda maior do que um ataque a um host qualquer da rede, visto que as ferramentas de IDS so projetadas para possurem alto grau de visibilidade na rede e as ferramentas, por serem automatizadas, recebem menos esforo administrativo, facilitando os ataques[IDS04, RNP99]. Evases simples - a evoluo das redes est trazendo ferramentas melhores para evaso de IDS. Cifragem de dados e o uso de VPNS so tcnicas bastante exploradas para se evadir do controle de um IDS. A mais nova tecnologia que possui o efeito colateral de permitir melhor ocultao do trfego dos IDS o padro IPv6, que transforma o IPSEC em caracterstica mandatria da rede, aumentando a segurana da rede, mas oferecendo maior capacidade de se inserir trfego malicioso em pacotes cifrados [ROB98].

49

Evases complexas - existem 2 formas complexas de se evadir um IDS: insero e evaso [ROB98]. O mtodo de insero baseia-se no conceito de deteco de invaso atravs de base de conhecimentos; se o invasor sabe o que o IDS est buscando na rede, forja-se uma larga quantidade de pacotes com o contedo que o IDS busca, forando a gerao de falsos positivos que por sua vez demandaro bastante esforo do administrador de sistemas para identificar o verdadeiro pacote de invaso entre uma quantidade grande de dados. Evaso ataca diretamente uma fragilidade do modelo CDIF que presume que tanto o IDS quanto o host de destino iro reagir da mesma maneira perante um pacote. Por definio a pilha TCP exige que todos os hosts reajam da mesma forma perante um pacote porm sabido que implementaes incorretas, verses de software e de drivers de rede podem influenciar nesta interpretao de dados; alm disso, o trfego diferente em pontos diferentes da rede: se um IDS recebe um pacote em um momento, nada garante que o host destino ir receber o mesmo pacote pois entre o IDS e o host destino sempre h a rede local e o trfego normal da rede, com isso no possvel garantir que ocorrncia de atraso possa influenciar tanto na leitura do pacote pelo IDS quanto na recepo do pacote pelo host de destino. Na prtica bastante difcil de se inserir cdigo arbitrrio em pacotes, porm no impossvel e j h ferramentas disponveis para testes de IDS que suportam insero, como o CASL e o IPSEND.

3.3. Concluso
Firewalls e IDSs so a escolha mais comum para aumento de segurana em sistemas digitais; no entanto, foram apontadas fragilidades em seu funcionamento que podem ser exploradas e cuja existncia no pode ser contornada, em alguns casos por serem falhas oriundas da prpria arquitetura da soluo. Para auxiliar na diminuio destas falhas, podem ser usadas um conjunto de novas tecnologias e ferramentas, que visam atuar nas lacunas deixadas pelos firewalls e os IDSs . Estas tcnicas e ferramentas so os honeypots.

50

Captulo 4

Honeypots, Honeynets e Honeytokens

Com as lacunas existentes nos sistemas de segurana mais comumente usados na internet, necessrio utilizar ferramentas capazes de interagir com os criminosos digitais e de fornecer subsdios para que os ataques, ferramentas e vrus sejam analisados, de modo que seja possvel se prevenir contra as aes dos atacantes digitais. Os honeypots e as honeynets permitem que os administradores de rede diminuam o risco aos quais seus sistemas esto expostos e ajudam a entender a maneira como o ataque foi feito.

4.1. Honeypots
A principal arma que podemos usar contra o inimigo poder conhecer suas atitudes e conseguir prever o que ele pode fazer contra ns. No mundo da informtica existe muito pouca informao de como so efetuados os ataques e como eles acontecem. Se no for possvel conseguir prever o que o inimigo pode fazer contra o sistema, no tem como implementar meios para se proteger. Hoje existem algumas ferramentas para analisar o comportamento dos inimigos virtuais e analisar suas atitudes. Com essas ferramentas podemos conhecer o que ocorre aps a invaso de um sistema e qual a atitude de um invasor depois que ele consegue comprometer o sistema. Saber o que ele deseja, como ele age e quais so seus objetivos. Uma dessas ferramentas o Honeypot (Pote de Mel). Esta ferramenta instalada em um computador com o objetivo de ser atacado para analisar todos os dados que entram e saem do sistema e como ocorre uma invaso. Segundo [HON02] os honeypots so sistemas criados

51

para atrarem e serem comprometidos por um atacante, gerando um registro histrico de todas as aes feitas neste ataque. Aps o comprometimento dos sistemas podemos extrair informaes que auxiliem no mecanismo de defesa ou mesmo sejam utilizados como alertas de invaso. As mquinas com um Honeypot instalado executam servios falsos, que respondem como seus originais, mas na verdade esto fazendo outras operaes totalmente diferentes. Estes programas que executam este tipo de atividade so chamados de fake servers [HBR00]. O objetivo de um Honeypot utilizar recursos para capturar a sesso de um invasor e monitorar seus passos para saber como ele fez o ataque e o que pretende fazer depois que invadir o sistema, ou seja, criar um ambiente para que o invasor pense estar no domnio da situao, o que no verdade, e assim registrar todos os seus passos dentro do sistema [FON01]. 4.1.2. A Histria do Honeypot O Honeypot comeou em 1991 com a publicao dos artigos The Cuckos Egg de Clifford Stoll que durante 10 meses (1986/87) e localizou e encurralou o hacker Hunter e An Evening with Berferd de Bill Cheswicks que durante meses estudou as tcnicas e criou armadilhas para o hacker Berferd, onde foram lanadas as bases do projeto e a primeira anlise de um ataque. Em 1992 o especialista Bill Cheswick explicou no artigo An Evening with Berferd In Which a Cracker is Lured, Endured, and Studied os resultados do acompanhamento de invases em um dos sistemas da AT&T, projetado especialmente para este fim [NSO03]. Em 1997 Fred Cohens lanou o DTK (descrito a seguir) o primeiro honeypot, que era aberto e gratuito. Em 1999 surgiu o Honeynet Project, criado por Lance Spitzner em uma entidade formada por cerca de 50 especialistas de segurana criar ferramentas de defesa contra ataques. Um dos resultados foi lanamento do Honeyd, uma ferramenta com soluo em software livre de Honeypot [HBR00]. Este foi o grande passo que ganhou repercusso mundial ao demonstrar a importncia do estudo do comportamento dos invasores de uma rede para o desenvolvimento de novas ferramentas e sistemas de defesa. 4.1.3. O Honeypot no Brasil No Brasil o existe o projeto HoneynetBR (www.honeynet.org.br), criado e mantido em parceria por especialistas do Instituto Nacional de Pesquisas Espaciais (INPE) e do grupo brasileiro de resposta a incidentes de segurana (NBSO). O projeto utiliza Honeypots de alta

52

interao com sistemas reais, porm com algumas modificaes que permitem a captura de todos os dados, inclusive os criptografados. De certo modo, como descrito na literatura, a prpria Honeynet pode ser considerada como um nico Honeypot composto por diversos sistemas, porm o projeto brasileiro refere-se a cada sistema individual dentro da Honeynet como um Honeypot individual [NSO03]. Trs meses aps o lanamento, o projeto recebeu um importante reconhecimento, tornou-se membro da Honeynet Research Alliance (www.honeynet.org), que rene diversos grupos de vrias partes do mundo, todos empenhados em desenvolver a tecnologia de honeynets. Visando a reduo de custo, o projeto brasileiro iniciou com um Hub e cinco computadores, sendo uma mquina de gerenciamento e o restante pertencente rede da Honeynet. Os sistemas operacionais utilizados foram Linux e OpenBSD, e todos os softwares so Open Source, dentre eles o snort, snort-inline, ettercap, etc. 4.1.4. Vantagens de uma Honeypot Os Honeypots podem ser vistos como um recurso que no tem valor de produo, afinal no existe razo legtima para algum fora da rede interagir com ele. Assim, qualquer tentativa de se comunicar com o sistema uma sondagem, varredura ou ataque de estranhos. Inversamente, se o sistema inicia conexes fora de sua faixa de atuao, bem provvel que o sistema esteja comprometido. O Honeypot aprimora a deteco ao reduzir o nmero de falsos positivos, pois as tecnologias tradicionais sobrecarregam o trabalho dos administradores gerando muita informao falsa, ou seja, os analistas gastam tempo valioso analisando informao que pode ser um simples trafego normal da rede. Um IDS, por exemplo, pode gerar mais de 10 mil alertas por dia. Alm das informaes normais como captura de informao de cabealho IP, o que ajuda a determinar de onde o ataque est vindo, quais portas foram usadas e quando a atividade ocorreu, os Honeypots tambm coletam informaes sobre a identidade dos atacantes, a lngua que eles falam, quais ferramentas utilizaram, como as desenvolveram e a motivao para o ataque [RLW03]. Outra grande vantagem do Honeypot que, como ele no um sistema que faz parte da produo, pode ser retirado da rede a qualquer momento para anlise dos dados, ou por motivo de ter sido comprometido, e ser recolocado sem que haja prejuzo para os sistemas de produo.

53

4.1.5. Desvantagens de um Honeypot Como ele um sistema isolado, instalado em um computador, ele tem sua capacidade relativamente limitada, pois no consegue captura dados de um ataque ao seu servidor Web, por exemplo, nem detectam se existem funcionrios que esto roubando arquivos de sistemas confidenciais, enxergando apenas o que cruza o seu caminho. O Honeypot uma ferramenta com a qual os atacantes podem interagir, o que algo extremamente arriscado se mal implementado, por isso ele deve atuar como um complemento a outras solues existentes, e no como uma ferramenta substituta [RLW03]. 4.1.6. Como funciona uma Honeypot Podemos exemplificar o funcionamento da seguinte maneira: um hacker executa um telnet para uma determinada mquina, o fake Server desta mquina emula o telnet e responde ao comando capturando as informaes do atacante [HBR00]. 4.1.7. Tipos e Nveis de Honeypots Existem Honeypots de pesquisa, mais utilizadas universidades, agncias do governo e o setor militar, e as de produo, que so mais utilizadas por organizaes comerciais. a) Quanto aos tipos de Honeypots, podemos citar: Honeypots de pesquisa: so programadas para acumular o mximo de informaes dos atacantes e suas ferramentas. Eles tm um grau alto de comprometimento e trabalham em redes externas ou sem ligao com a rede principal. So utilizados para coletar informaes sobre atacantes, fornecendo um quadro mais preciso dos tipos de ameaa que existem e como combat-las. Honeypots de produo: tem como objetivo diminuir os riscos da rede principal, pois o principal elemento a distrao ou disperso. Eles so usados para proteger a organizao evitando, detectando ou auxiliando na resposta a um ataque. b) Quanto aos nveis de Honeypots: basicamente temos trs, os de baixa, mdia e alta interao [NSO03, SAR01]:

54

Honeypots de baixa interao (Low-interaction Honeypots) normalmente emulam servios e sistemas operacionais, no permitindo que o atacante interaja com o sistema.

Honeypots de mdia interao: utilizam um ambiente falso e cria para o atacante uma iluso de domnio da mquina. melhor utilizada para estudo, pois d a impresso de estar sendo invadida realmente.

Honeypots de alta interao (High-Interaction Honeypots) so compostos por sistemas operacionais e servios reais e permitem que o atacante interaja com o sistema.

4.1.8. Ferramentas para criar um Honeypot Existem muitas ferramentas para se implementar um Honeypot, cada administrador deve buscar uma de acordo com a necessidade da sua rede, verificando quais so as possveis vulnerabilidades para invaso e instalar uma configurao que traga informaes voltadas para o seu ambiente de produo. Como exemplo de Honeypot podemos citar o Deception Toolkit, o CyberCop Sting e o Mantrap, descritas a seguir. a) O Deception ToolKit (DTK) criado por Fred Cohen (1997) utiliza uma coleo de scriptis em Perl e C que simulam vrios servidores e emulam diversas vulnerabilidades conhecidas em sistemas com o objetivo de enganar os atacantes. Como por exemplo, o Sendmail, que passa um arquivo de senhas falso e, em seguida, esses scripts so executados em um sistema hospedeiro. O atacante atrado para utilizar este arquivo de senhas que no so reais e com isso perder tempo valioso para descobrir tais senhas. Com o DTK possvel aprender formas de ataque sobre vulnerabilidades conhecidas. b) Cybercop Sting uma mquina Windows NT que faz emulao de uma rede inteira replicando as pilhas IP (Internet Protocol) e o inetd dos sistemas operacionais. Podese simular a implementao de diversos sistemas dentro de uma mquina de Honeypot fsica. A vantagem que possvel simular toda uma rede com diversos sistemas de

55

forma rpida e simples, contudo s possvel emular ambientes conhecidos como login de Telnet ou um banner SMTP (Simple Mail Transfer Protocol). c) O Recourse Mantrap ao invs de simular um sistema operacional, ele encapsula vrios ambientes, pois ele executa uma imagem de um sistema dentro do outro. A grande vantagem que temos um sistema operacional real sendo executado e o atacante estar manipulando um sistema virtual completo com o qual pode interagir depois do sistema comprometido. A desvantagem que ficamos presos aos sistemas operacionais que o fabricante pode oferecer. Alm disso, o atacante pode utilizar o seu sistema como trampolim para atacar outros sistemas, pois no temos como conter as atividades do intruso, apenas analisar suas atitudes. Recentemente o projeto Honeypot do Brasil anunciou o Rootcheck, a nova ferramenta desenvolvida por Daniel B. Cid e j foi testada em vrios ambientes de produo. Esta ferramenta trabalha como um auditor e localizador de rootkits desenvolvido para ambientes Linux, ele capaz de detectar rootkits como o suckit, adore, etc [BLO03]. O rootcheck tem uma ferramenta de deteco de rootkits, ele checa quais as portas do sistema esto em uso e compara com o resultado do netstat. 4.1.9. Riscos do Honeypot O ganho obtido com o uso de honeypots representa uma melhoria na qualidade dos alarmes de invaso e o aprendizado das novas tcnicas sendo utilizadas pelos atacantes, mas, temos que lembrar que existe um risco implcito no que pode acontecer caso a mquina seja invadida e se perca o controle do que est acontecendo. A famosa histria de feitio que se vira contra o feiticeiro pode ser uma realidade brutal, e aquilo que era uma ferramenta de estudo pode se tornar uma ameaa real [FON01]. O Honeypot pode ser utilizado como trampolim para o hacker invadir outros sistemas, neste caso as aes legais voltam-se contra o responsvel pela Honeypot. 4.1.10. Classificao de Honeypots baseados na implementao Os honeypots podem ser divididos quanto implementao em reais e virtuais.

56

a) Honeypots virtuais so softwares que emulam servios, servidores e trfego de rede. Estes softwares so configurados para abrirem portas de conexo e responderem a requisies externas. O grau de resposta varia de software para software. O Honeyd uma ferramenta de implementao de honeypots virtuais.
b) Honeypots reais so implementaes de sistemas operacionais e servios vlidos,

sobre os quais so implementadas modificaes que aprimoram o nvel de gerao de alertas e histricos de registros do sistema. Ambas implementaes servem ao propsito de atrair e enganar um invasor, sendo que sua eficincia contra os invasores s pode ser medida pelo grau de interao. 4.1.11. Implementao de Honeypots Para implementar honeypots no pode-se usar um manual ou um livro de melhores prticas, pois cada organizao deve analisar cada finalidade desejada. importante ressaltar que as mquinas de honeypots devem ter regras que as permitam receber conexes, porm no iniciar conexes (assim protegendo o restante dos hosts da rede em caso de comprometimento da mquina do honeypot). O administrador deve saber quanto risco a sua organizao capaz de tolerar e implantar as regras apropriadas para minimizar os riscos. Existem basicamente dois tipos de solues que podem ser implementadas: as de monitoramento de portas e a de ambientes fechados. As solues de monitoramento de porta podem basear-se em programas que escutam a porta ou aplicaes customizadas de monitoramento de porta, so projetadas para executar tarefas muito especficas, como detectar ataques ou capturar ferramentas automatizadas, estes sistemas so mais fceis de criar, implementar e manter, alm de menos arriscados, porm so mais limitados no escopo de informao que fornecem. J em uma soluo de ambiente fechado preciso criar um ambiente virtual que, para um atacante, parece fazer parte de um sistema em pleno funcionamento. O principal valor est na forma de preveno ou de fornecimento de informao sobre como reagir a um ataque. Estes sistemas so mais complexos e envolvem mais riscos, mas obtm uma gama maior de informao.

57

4.2. Honeynets
Honeynet no um sistema nico, conforme figura 3, mas sim um conjunto de honeypots, podendo ser vrios sistemas diferentes, tal como um servidor web IIS Windows NT, servidor DNS Linux ou um FTP em Solaris, com isso aprende-se mais sobre ferramentas e tticas usadas, uma rede composta por sistemas de produo e aplicativos padro, onde nada feito ou emulado para torn-la menos segura. Uma Honeynet bem sucedida depende do Controle de Dados e da Captura de Dados.

Figura 3 - Honeynet

4.2.1. Controle de Dados Aps um honeypot ser comprometido, o fluxo dos dados deve ser controlado sem que o atacante perceba, e garantir que o sistema no seja usado para atacar outras redes fora da honeynet.

58

Um firewall pode ser usado para controlar o acesso, fazendo com que os dados que entram e saem da honeynet passem pelo mesmo. Numa honeynet h trs redes distintas, a rede externa, a rede com os honeypots e uma terceira rede que a administrativa, essas trs redes so separadas pelo firewall. A rede externa seria a Internet, que de onde vm os ataques, a honeynet possui os sistemas a serem comprometidos e a administrativa que uma rede confivel e serve para coletar os dados remotamente.
Segundo [HON02], so definidas trs regras no firewall: Primeira regra Qualquer conexo para a rede dos honeypots autorizada, deste modo qualquer pessoa pode varrer os sistemas da honeynet. Segunda regra Conexes da rede dos honeypots para rede externa so controladas pelo firewall, evitando com que os sistemas da honeynet sejam usados para ataque a sistemas da rede externa. Terceira regra Conexes da honeynet para a rede administrativa no so autorizadas, evitando que o atacante, aps comprometer um honeypot, tente invadir a rede administrativa. Essas regras podem mudar e representar a filtragem do sistema de produo de uma organizao. A quantidade de conexes a partir de um honeypot deve ser controlada, quanto maior o nmero de conexes maior o risco. Caso seja ilimitada, o sistema comprometido pode ser usado para atacar outros sistemas, por outro lado, caso a quantidade for limitada, o atacante pode ficar desconfiado e com isso o honeypot comprometido deixar de ser til. Segundo [HON02], um nmero de cinco conexes em 24 horas um nmero adequado, dando ao hacker flexibilidade para downloads de suas ferramentas, enviar e-mail, usar o IRC (Internet Relay Chat) para comunicao ou qualquer outro servio. Meios automatizados devem ser implementados para mandar alertas, controlar e bloquear quando o nmero de conexes for excedido. O ataque pode ocorrer a qualquer hora do dia, e uma interveno humana pode ser um risco, caso o firewall esteja configurado para mandar alertas via email quando o nmero de conexes permitidas for excedido, estes e-mails podem no ser enviados por alguma falha de DNS (Domain Name Server) ou no serem lidos.

59

4.2.2. Captura de Dados A captura de dados a coleta de todas as atividades dentro da Honeynet comprometida para anlise posterior, fazer isso com uma nica camada muito arriscado e podem ocorrer falhas, ento usado uma juno de vrios sistemas de captura, sendo logs de firewall/roteador, registros de histrico de rede e os prprios sistemas, com isso melhorando o contedo das informaes. Esta captura no pode ser armazenada s localmente no sistema comprometido e sim num sistema confivel e seguro sem que o atacante tenha acesso. Caso o atacante tenha acesso a esses registros de arquivo, ele pode destru-los ou modific-los. As camadas da captura de dados podem ser: Camada de controle de acesso - a primeira camada da captura de dados, podendo ser um firewall ou um roteador. Como dito anteriormente, ele manda alertas para e-mail do administrador de tudo que entra e sai da honeynet.Todo trafego que entra e sai da rede honeynet suspeito, controlado e registrado pelos dispositivos de controle de acesso. Esses alertas so importantes para comparaes futuras com os do IDS (Camada de Rede). O problema desta camada que no registra a atividade dentro do honeynet, apenas o trafego que passa pelo dispositivo de controle de acesso. Camada de Rede - serve para capturar e analisar os pacotes que trafegam pela rede. Um IDS usado para alertar sobre as atividades suspeitas, usando anlise de assinatura dos pacotes ou deteco de anomalias e identificar e capturar a carga til do pacote. Essas informaes dos ataques, dos pacotes e do pressionamento de teclas devem ser armazenadas de tal maneira que seja fcil a anlise delas posteriormente. Camada do Sistema - Caso o atacante use comunicao criptografada, a captura do pressionamento das teclas, por exemplo, torna-se difcil. Os registros de histrico no sistema comprometido no so armazenados s localmente, mas tambm num sistema remoto confivel e seguro, portanto tambm so capturados pelo IDS por estarem passando na rede. As formas encontradas de capturar os pressionamentos das teclas so: modificando o bash (/bin/bash) ou usando um patch no kernel, fazendo o armazenamento no servidor de syslog remoto. Camada Off-Line Esta camada trabalha fazendo uma imagem do seu honeypot antes de ser colocado em atividade. Com isso, quando o sistema for comprometido, basta fazer uma comparao da imagem anterior com a atual para identificar as modificaes que

60

ocorreram. Segundo [HON02], uma ferramenta usada para tal fim o Tripwire, que faz a imagem do sistema antes de ser comprometido e a compara com o estado do aps a invaso, que pode identificar os binrios do sistema e os arquivos de configurao que foram modificados atravs do seu banco de dados. 4.2.3. Anlise de Dados As honeynets so timas para controlar e capturar os dados de um atacante, mas estas informaes no sero teis sem transform-las em dados relevantes e de fcil entendimento. Para isso os dados so capturados de forma inteligente, automatizando os processos que os coletam, como um e-mail de alerta. Sero examinados os logs do firewall, alertas de IDS e o trfego capturado, registros do sistema e os pressionamentos de teclas. Os tipos de anlise podem ser: Logs de Firewall a anlise de registros de um firewall geralmente um processo muito trabalhoso, pois h grande quantidade de informaes. No caso da honeynet o trfego no muito grande, pois no um sistema de produo. Nela todo trfego suspeito, logo todo dado capturado til. Caso o firewall seja configurado para enviar alertas para o email do administrador quando h tentativas de entrada e sada de conexes, o processo de anlise torna-se menos trabalhoso. Anlise do IDS - o IDS captura trs fontes de informaes, a primeira so os alertas gerados pelo prprio IDS, a segunda a captura de trfego da rede armazenando num arquivo binrio e a terceira so registros de histrico da sesso ASCII detectados na carga til do pacote, como o pressionamento das teclas. Parece redundncia enviar um alerta para o administrador, mas enquanto os alertas do firewall mostram apenas as tentativas de conexo, os alertas de IDS podem informar o que um atacante est executando, isso uma vantagem da captura ser feita em camadas. Registros Histricos do Sistema - Em um sistema comprometido, o atacante tentar apagar ou modificar os arquivos de registro do sistema, por isso eles devem ser armazenados em um servidor remoto. Quando so mandados do honeypot comprometido para o servidor de registro de histrico remoto, esses dados so capturados pelo IDS atravs da rede. Com

61

isso, os logs de sistemas esto em 3 lugares: no prprio sistema, no servidor de arquivos de registro remoto e na captura feita pelo IDS. Caso o atacante modifique os registros de histrico do sistema, basta fazer uma comparao com os dados capturados pelo IDS ou armazenados no servidor de arquivos de registro remoto. 4.2.4. Anlise de Dados Avanada Muitas vezes os logs de um firewall, os alertas de IDS e os arquivos de registro do sistema podem no informar o dado procurado, ento mtodos mais avanados precisam ser usados. H dois tipos de anlise avanada de dados, a primeira a obteno passiva de impresses digitais (fingerprinting) e a outra a argumentao do sistema. A obteno passiva de impresses digitais serve para saber o sistema operacional utilizado, os servios e at o aplicativo usado pelo atacante. Em [HON02] diz, que algumas particularidades da pilha IP, como TTL (Time to Live), tamanho da janela, o DF (Dont fragment) e o TOS (Type of Service) dos sistemas operacionais e do aplicativos so diferentes, e isso pode ser usado para obteno dos dados procurados. Esta obteno feita atravs dos rastros de um sniffer do trafego do sistema remoto, ela no totalmente perfeita, pois alguns aplicativos criam seus prprios pacotes e podem no produzir assinaturas iguais as do sistema operacional, portanto alguns valores podem ser modificados.

4.3. Honeynets GENII (segunda gerao)


Conforme [GEN03], a honeynet no um produto que voc simplesmente instala o software de um CDROM e o deixa de lado. A honeynet uma arquitetura, uma rede controlada e usada para conter, analisar as ferramentas, e os motivos dos atacantes. A segunda gerao das ferramentas de pesquisa, honeynet (GENII) baseada e combinada com velhas e novas tecnologias, acrescenta flexibilidade, comodidade e segurana as honeynets, possui algumas particularidades em relao primeira gerao, entre elas o conceito honeywall, que um mecanismo de administrao com o foco no gerenciamento de rede que trabalha na segunda camada de rede.

62

4.3.1. Honeywall Honeywall um conceito novo usado nas honeynets GENII, e como na primeira gerao o elemento chave, pois separa os sistemas a serem comprometidos da rede externa, tudo que entra e sai da honeynet deve passar pelo honeywall. Em [GEN03], implementado um honeywall de segunda camada de rede, por ser de mais difcil deteco e com trs interfaces. O gateway separa a rede de produo da rede honeynet, a primeira interface ligada a rede de produo, a segunda conectada a rede a ser comprometida e a terceira interface para administrao remota do gateway, incluindo o ato de mover registros de histrico e dados capturados para um lugar centralizado. Na primeira e na segunda interface no se designa um endereo IP a elas, pois esto bridging, j a terceira possui um IP e separada das outras redes com o propsito de administrao. As vantagens dessa arquitetura, por estar usando um honeywall em modo brigde, que no h roteamento entre as redes, logo os pacotes no so modificados com a insero do MAC do roteador e nem h diminuio do TTL (Time To Live) entre hops de rede, tornando assim o honeywall de difcil deteco e permitindo que o mesmo analise o trfego entre as duas redes. 4.3.2. Captura e Controle de Dados O Controle de Dados implementado dentro do gateway de camada 2, pois todo o trfego pode entrar e sair atravs do mesmo. Como falado anteriormente, o propsito do controle dos dados prevenir que o atacante use o sistema comprometido para atacar outros sistemas fora da honeynet, atravs da contagem das conexes obedecendo a um limite prdefinido. A quantidade de conexes permitida depende do risco que estamos dispostos a encarar, pois temos que fazer isso sem que o atacante perceba. Alm da contagem de conexes para fora da rede honeynet, existe o NIPS (Network Intrusion Prevention System), que pode identificar e bloquear ataques conhecidos. O NIPS inspeciona cada pacote que viaja atravs do gateway, se o pacote atende a alguma regra do IDS, no gerado um alerta somente, mas tambm o pacote pode ser descartado ou modificado. Em [GEN03], o Honeynet Project usa o snort_inline, uma modificao do IDS snort que pode descartar ou modificar pacotes. A finalidade da captura de dados, segundo [HON02], registrar todas as atividades que ocorrem dentro da honeynet, incluindo nveis de rede e sistema, isso feito em camadas para dar mais segurana. As trs camadas identificadas pelo Honeynet Project seriam: os logs

63

de firewall, anlise do IDS e os arquivos de registro do sistema. Para ajudar na coleta dos registros histricos do sistema, foi criado um patch escondido do kernel chamado sebek capaz de registrar a atividade do atacante. A informao coletada pelo sebek, no fica no honeypot comprometido, ela transmitida via UDP para uma maquina sniffing. O atacante no pode ver essa informao sendo transmitida, isso feito modificando o honeypot, fazendo com que ele no veja qualquer pacote em tal porta UDP.

4.4. Honeytokens
O conceito de honeytokens foi introduzido por Andr Paes de Barros, na lista de discusso do projeto honeynets, aprimorado e estudado por Lance Spitzner, trazendo mais um conceito interessante para a segurana de sistemas. 4.4.1. Definio de Honeytokens Ao considerarmos que Honeypots so sistemas computacionais cujo principal objetivo ser sondado, atacado e comprometido, expomos uma das fragilidades do sistema j estudado, que o fato de que h um hardware, um equipamento que pode ser explorado e que pode ser utilizado para se fazer mais ataques contra o resto da rede; honeytokens ento transcendem esta definio por no serem equipamentos, mas pedaos de informao caracterizada conforme padres complexos criados pelo administrador. Uma das muitas vantagens j conhecidas da utilizao de um honeypot reside no fato de que o trfego a ser analisado em um honeypot consideravelmente menor do que aquele que h em IDSs e Firewalls, visto que um honeypot gera menos alarmes falsos. Honeytokens tambm geram menos alarmes falsos atravs da insero de informaes caractersticas que podem ser analisadas pelo contedo, em contrapartida s anlises baseadas em comportamento e assinatura, demonstrando acessos indevidos a informaes que nunca seriam acessadas atravs do comportamento padro do uso do servio. Honeytokens ento so pequenos conjuntos de informaes que so inseridos em bancos de dados ou massas de informaes, cujo sentido especfico no vlido, mas o trfego na rede representaria um acesso indevido. Com estas caractersticas, podemos exemplificar um honeytokens, como algumas da seguinte forma:

64

a) Uma conta especfica: Com a criao de uma conta especfica de usurio com poucos direitos, mas com uma configurao de segurana fraca, inserido a exemplo em um sistema Linux, uma conta chamada Administrador com a senha Administrador, cujo acesso seria monitorado. b) Uma informao especfica dentro de um arquivo: Atravs da insero em um arquivo de uma seqncia especfica de dados, como um nmero de carto de crdito falso (123443211199) em uma base de dados, cujo trfego pela rede seria monitorado, gerando alarmes caso tal conjunto de dados fosse detectado; c) Um link oculto em um documento: Na criao dos documentos confidenciais de uma empresa, pode se ocultar um pequeno link cujo destino resida em um site externo, se possvel de modo a representar qual documento est sendo acessado; esta tcnica permitiria que se fizesse um rastreamento de todos os acessos a um documento controlado. 4.4.2. Implementao de Honeytokens perante massas de dados reais ou forjadas A implementao de honeytokens diretamente dependente de anlise dos dados que so crticos para uma organizao. Como sua forma pode ser dada por qualquer uma das implementaes descritas acima, o grau de funcionalidade de cada uma das implementaes relacionado relevncia das informaes que so forjadas dentro de uma massa de dados. Em um ambiente corporativo, pode-se considerar que uma conta de administrao uma informao de grande relevncia, pois tal informao permitiria aos atacantes uma grande parcela de controle sobre o sistema, mas quando se trata de utilizar um honeytoken para controlar o acesso informao, necessrio uma anlise do cenrio e do tipo de informao que a organizao trafega, dificultando a criao de uma lista de melhores prticas para implementao dos mesmos. Os honeytokens so classificados em sua abrangncia dentro do assunto de honeypots e honeynets como utilitrios de deteco de acesso s informaes.

65

4.4.3. Vantagens do uso de Honeytokens Honeytokens aprimoram ainda mais uma das principais vantagens da tecnologia de honeypots como um todo, que a diminuio de alarmes falsos. Atravs da insero de uma informao invlida na massa de dados, pode-se observar o mau-uso de informao, acesso indevido e at rotinas de software que estejam incorretas. O trfego de um honeytoken pela rede caracterstica de que algo incomum est acontecendo. Honeytokens tambm podem ser utilizados para se construir padres de comportamento do uso de um sistema, expondo a rotina do trfego de informaes e auxiliando na construo dos padres que podem ser utilizados para anlise pelos IDS baseados em comportamento. 4.4.4. Desvantagens do uso de Honeytokens Alm de ser um conceito experimental, com pouco mais de um ano de criao, e para o qual as primeiras RFCs ainda esto sendo submetidas, os honeytokens quando aplicados sozinhos so ainda mais suscetveis s fragilidades dos IDS. Se j difcil para um IDS identificar um trfego anmalo que acontece vrias vezes (por exemplo, diversas tentativas de intruso), quando apenas uma informao vital capaz de comprovar toda a invaso trafega em meio a um grande conjunto de informaes, h uma possibilidade maior de que esta pequena informao seja ignorada. Quando se aplica honeytokens em honeypots, no entanto, retira-se o elemento de dvida da tentativa de invaso, comprovando que o invasor realmente usou uma informao indevida para efetuar o ataque. 4.4.5. Descrio de um caso de uso de Honeytokens Recentemente uma grande empresa de RH suspeitava que seu banco de currculos na Internet estava sendo acessado pelos concorrentes de maneira que muitos dos seus clientes passaram a ser contatadas pela concorrncia. Como a empresa de RH no poderia acusar formalmente a concorrncia de furto de propriedade intelectual, foi criada uma srie de currculos cujas informaes nunca apareceriam em nenhuma das pesquisas que fizessem sentido, a no ser que se fizesse uma pesquisa por todos os currculos do site (por exemplo, procurando a letra A) .

66

Uma vez que estes currculos foram inseridos, a empresa fez uma pesquisa em todos os sites dos seus concorrentes por uma expresso-chave muito especfica (criao de escargots verdes, por exemplo), e encontrou o currculo fictcio que tinha sido forjado e plantado em sua base de dados. Quando confrontada judicialmente, a concorrente acabou cedendo e dizendo que alguns de seus consultores faziam pesquisas em outros sites para procurar profissionais; o processo ainda se desenrola na justia. Estes currculos forjados so os Honeytokens, informaes forjadas, inseridas em um sistema com o objetivo de qualificar e dar certeza da invaso.

4.5. Concluso
Honeypots e Honeynets agem com grande eficincia na diminuio do risco a sistemas digitais, porm sua implementao no simples e permite que um administrador despreparado exponha seu sistema a riscos desnecessrios; no entanto, uma vez que um honeypot esteja em funcionamento, as vantagens para o administrador do sistema vo desde a aquisio de provas digitais e da anlise dos ataques at o aprendizado de novas ferramentas e formas de ataque.

67

Captulo 5

Crime Digital, Anlise Forense e o Aspecto Legal dos Honeypots

O uso de honeypots e honeynets permitem que o administrador do sistema gere um histrico, um registro histrico preciso de todos os passos do invasor enquanto este abusava do sistema invadido. possvel, ento, retaliar legalmente de modo que este invasor no possa mais invadir outros sistemas, fazendo-o pagar pelos danos causados. Uma vez conhecidas as ferramentas de segurana, suas falhas tecnolgicas e apresentados os honeypots como novas tecnologias teis para preencher as lacunas de segurana entre os IDS e os Firewalls, pode-se adicionar mais uma funcionalidade aos honeypots, esta sendo a sua capacidade de servir como prova em processos legais contra os invasores. este aspecto que ser analisado, agora sob o ponto de vista de diversos operadores do direito.

5.1. Crime digital


Segundo [PAT01, REN04a, ALE04b, DEM03b], o crime digital em todas as suas formas um Crime de Meio, um crime corriqueiro que cometido atravs do uso do computador, e no uma nova modalidade de crime nunca visto antes. Logo, a questo de se punir os criminosos digitais no tanto pela falta de leis que o permitam, mas tambm pelo despreparo do poder de polcia em lidar contra os atos ilegais com as ferramentas que se encontram disponveis na jurisdio brasileira.

68

um fato conhecido de que a justia brasileira lenta tanto em processar quanto legislar [REN00], porm com a existncia da tipificao dos crimes j na legislao, e apenas a necessidade de se utilizar os ditos tipos de crimes no mbito da informtica ajuda a agilizar eventuais processos contra criminosos digitais. Os crimes que podemos analisar ento so aqueles cujo fim est coberto pelo mbito da legislao j vigente, divididos entre [TUL02] crimes contra a pessoa, crimes contra o patrimnio, crimes contra a propriedade imaterial, crime contra os costumes, crimes contra a incolumidade pblica, crimes contra a paz pblica e outros crimes menos comuns. Ser exemplificado, a seguir, formas digitais da ocorrncia destes crimes. 5.1.1. Crimes contra a pessoa Crimes que visam a vida e a integridade fsica dos seres humanos: Homicdio: Ticio invade um sistema de controle de semforos, deixando o sinal no estado "verde" tanto para o pedestre quanto para o veculo que vem no sentido contrrio, causando o atropelamento do pedestre; neste caso, respondem tanto o motorista e o invasor por homicdio, o motorista responde por homicdio culposo por no ter pretendido matar um pedestre e o invasor por homicdio doloso, por ter deliberadamente causado um evento capaz de tirar vidas. Crimes contra a honra: Uma pessoa mal intencionada publica em uma pgina web informaes de cunho calunioso ou informaes que no se pode provar; Uma pessoa envia para mais de uma pessoa um e-mail expondo a sua opinio negativa acerca de outra pessoa de maneira caluniosa, com informaes acerca da pessoa que quem enviou o e-mail no consegue provar a veracidade. Induo, Estmulo ou Auxlio ao Suicdio: Ticio encontra Mvio em uma sala de bate-papo, onde Mvio revela Ticio seu desejo de extinguir a sua vida. Ento Ticio passa a estimular Mvio a cometer o suicdio, e caso Mvio venha a ter sucesso neste ato, a prova material da influncia de Ticio na morte de Mvio exatamente o computador e os eventuais logs de conversas entre Ticio e Mvio. A ttulo de exemplo, na data de 18/03/1999, o jornal "O Tempo", de Belo Horizonte, publicou o endereo de um site americano que encorajava o suicdio como soluo final dos

69

problemas, e pedia que os suicidas publicassem suas cartas de despedida no site. Pelo menos 3 pessoas das que postaram suas cartas de despedida no site foram encontradas mortas e uma quarta no teve sucesso na tentativa de suicdio e foi internada para tratamento psicolgico; 5.1.2. Crimes contra o patrimnio Furto: Ticio entra em um site de algum operador financeiro e passa a manipular os centavos de diversas contas, transferindo-os para uma conta prpria. Estelionato: Ticio envia e-mails fazendo correntes e pedindo que sejam efetuados depsitos monetrios em uma conta corrente especfica; ou ainda: a mesma pessoa utiliza um software criado para gerar nmeros falsos de carto de crdito e de CPF , fazendo compras ento com estes nmeros falsos. O crime de estelionato o mais comum pela Internet, e o que mais gera processos criminais. 5.1.3. Crimes contra a propriedade imaterial Violao de Direito Autoral: Ticio cria um site que permite que outras pessoas faam download de programas completos ou msicas sem pagar nada por isso Concorrncia Desleal : o dono da Empresa MevioTronic publica em um site que o produto produzido pela sua concorrente, a empresa TicioTronic, altamente nocivo para a sade, segundo uma pesquisa americana. Usurpao de nome ou pseudnimo alheio: Ticio invade o site de um famoso escritor Mvio e l publica um conto de sua autoria, e um comentrio assinado pelo escritor dizendo que nele baseou alguma obra qualquer. 5.1.4. Crimes contra os costumes Pedofilia: Publicar, gerar, transmitir ou acessar imagens de crianas e adolescentes mantendo relaes sexuais. Favorecimento prostituio: Ticio constri um site que contm links para fotos e nmeros de telefone de prostitutas, ou ainda uma Mvio que envia mensagens (e-

70

mail, celular, torpedo), convidando mulheres a se cadastrarem e oferecerem seus servios em dado site. Rufianismo: no mesmo site acima, uma opo para se contratar as mulheres e se pagar com o carto de crdito diretamente no site. 5.1.5. Crimes contra a incolumidade pblica Trfico de Drogas e de Armas com ou sem Associao para: Ticio anuncia em um leilo pela Internet drogas ou armas com entrega em domiclio. 5.1.6. Crimes contra a paz pblica Incitao ao Crime: Ticio, preconceituosa faz um site com comentrios racistas e com a possibilidade de outras pessoas tambm "expressarem sua opinio". Formao de Quadrilha ou bando: Ticio, Mvio e Licio combinam, em um chat pela Internet a invaso de um site de um grande banco, com o objetivo de dividir os esplios entre suas contas. 5.1.7. Outros crimes menos comuns Ultraje a culto ou prtica religiosa: Ticio constri um site apenas para maldizer uma prtica religiosa e todos os seus seguidores. Crime eleitoral: Ex-candidato Ticio, desprovido de direitos eleitorais por ter sido caado anteriormente, envia mensagens s pessoas, pedindo votos para seu aliado, o candidato Mvio.

5.2. Legislao especfica para o meio digital


A lei 9.296/96 a primeira lei especfica para o meio digital e trata, basicamente do sigilo das transmisses de dados, segundo a qual vedado a qualquer pessoa ou entidade o direito de interceptao de mensagens digitais ou telefnicas, bem como quaisquer comunicaes entre 2 computadores por meios telefnicos, telemticos ou digitais.

71

A interpretao mais recente desta lei observa exatamente esta ultima parte da lei, "comunicao entre 2 computadores" e a aplica a furto de dados de bancos de dados, invaso e espionagem ou sniffing da rede e outros delitos que envolvam a manipulao de um terceiro um conjunto de dados pertencente a outros computadores. Ainda a lei 9.983/00 prev como crime a ao de divulgao de segredo, inclusive por meio da Internet tanto a sua transmisso quanto sua descoberta, sendo considerado como segredo, para efeitos da lei, senhas, dados de clientes ou quaisquer outras informaes que no possam ser obtidas seno atravs da invaso do site. Esta lei tambm inclui como crime aes que englobam mas no se limitam insero proposital de dados invlidos em bancos de dados e da construo e modificao de sistemas sem a autorizao do proprietrio. Ainda circula pela cmara dos deputados um Projeto de lei, de nmero 89/04 que prev condutas tipicamente do meio digital, como disseminao de vrus, invaso e pichao de sites, entre outros.

5.3. Prova de autoria e dificuldades tcnicas que atrapalham a captura de criminosos virtuais
Visto que h legislao capaz de atender muitas das ocorrncias de crimes digitais, podemos afirmar que no apenas a incapacidade de se processar um crime digital que impede que o Brasil tenha um nmero to grande de ocorrncias de invases sem punio. A principal dificuldade encontra-se em efetuar a prova da autoria de um crime digital, prova esta que a evidncia irrefutvel de que uma pessoa utilizou um computador para efetuar um crime. A legislao brasileira compara o computador, nos casos de crime digital, uma ferramenta, arma do crime. Se em um homicdio ns temos a figura da vtima, o ato (perfuraes por arma de fogo) e a arma que foi usada, em um crime digital existe a mesma estrutura, que a vtima que teve sua perda moral ou material, o ato (modificao de dados, excluso, cpia indevida) e a arma que foi usada para tal, no caso o computador. Em um crime real, no entanto, existe a necessidade em se ligar a arma de um crime a uma pessoa que o tenha cometido. Esta ligao pode ser efetuada por testemunhos, por anlises forenses laboratoriais ou por provas materiais como fotos e filmagens, por exemplo.

72

No mundo digital, no entanto, h uma complicao a isso: como garantir que uma pessoa realmente utilizou tal computador para efetuar um crime? As tcnicas forenses so utilizadas para determinar com exatido qual computador foi utilizado e quais as aes do criminoso digital, porm difcil de se ligar uma pessoa ao ato criminoso. Esta exatamente a maior dificuldade em se reprimir o crime digital. Para poder autuar um criminoso digital, necessrio um conjunto muito grande de provas circunstanciais ou ento de uma autuao em flagrante delito; dadas s dimenses da Internet, onde o crime pode ser cometido em qualquer lugar do mundo e a partir de qualquer outro lugar do mundo, o flagrante instantneo de mostra difcil de se obter, logo necessria sempre uma investigao profunda na qual se permite que o delito seja praticado s vezes at mais de uma vez, para que se possa obter uma autuao em flagrante.

5.4. Anlise Forense


"A anlise forense um conjunto de tcnicas que, quando utilizadas pelo poder de polcia, confere ao microcomputador, s informaes nele contidas e por ele transmitidas caracterstica jurdica de prova" [MAR03]. Aps efetuada a autuao de um suspeito, comum que se lacre o computador e que se leve o mesmo para anlise. Esta anlise consiste na gerao de cpia bit a bit de todas as informaes, de modo que o sistema de arquivos do computador sendo analisado (documentos, diretrios, arquivos existentes ou apagados) possa ser reconstrudo garantindo que todas as informaes foram mantidas e so garantidamente verdadeiras. A legislao brasileira no possui regulamentao para a anlise forense digital, mas historicamente todas as apresentaes de provas digitais tem sido bem aceitas nos tribunais, comprovando que em maneira geral, os analistas forenses j se encontram preparados para enfrentar os crimes digitais. Em vias gerais, um procedimento forense se d atravs da cpia fsica dos dados do disco, da anlise e anotao das informaes da BIOS, quando relevantes, da montagem da imagem feita em um servidor de analise forense (autopsy forensic browser, por exemplo) e ento a anlise e gerao de um parecer forense. Poderamos resumir a parte da aquisio dos dados de um disco apreendido em 1 linha de comando, que funcionaria na maioria das mquinas Linux:

73

dd if=/dev/hdc | tee disco.img | md5sum > disco.md5 Este comando baixaria a imagem fsica do terceiro HD ide de uma mquina e dela geraria um checksum, garantindo a veracidade e a segurana dos dados adquiridos [PRO04]. 5.4.1. Ferramentas Forenses de anlise digital A anlise de uma invaso depende de um grande esforo computacional, de uma grande experincia com informtica e principalmente do uso correto das poucas ferramentas existentes. A polcia tcnica brasileira faz uso de duas ferramentas que auxiliam no processo de anlise forense , o Kit Sleuth e o Autopsy Forensic Browser [SLE04, AUT04]

5.4.1.1. Kit de Ferramentas Sleuth O Sleuth um kit de ferramentas baseadas em Unix capaz de navegar por imagens de dados geradas com o comando dd e analisar discos com parties de diversos tipos, inclusive, porm no limitado NTFS, FAT32, EXT2, Solaris Disk Slices, entre outros. A Leitura dos dados pode ser feita de duas maneiras, ou em sistemas mortos ou em sistemas vivos. Em sistemas mortos, considera-se que se possui uma imagem gerada a partir do disco original da mquina que est sendo analisada, inclusive sem a interao do sistema operacional da prpria mquina para que no hajam modificaes no sistema de arquivos no momento da inicializao do sistema. Para que se obtenha um sistema morto, considera-se que o especialista remove o disco da mquina apreendida, e conecta este disco em modo escravo em outro sistema, gerando a imagem (executando o comando dd, com a linha de comando mostrada acima) a partir do sistema mestre. Considera-se a anlise de um sistema morto como uma tcnica no intrusiva e de maneira geral, mais confivel. Os dados acessados so analisados em formato ASCII, ou hexadecimal e uma parte importante do sistema um analisador de HASH, que permite se verificar a ordem de modificao de

74

arquivos. Finalmente, uma ferramenta que apresenta um navegador de tipos de arquivo, onde se pode separar os arquivos por tipo, organizando-se, por exemplo, todos os documentos, todas as imagens, etc. A ferramenta permite tambm que se rode a anlise em sistemas vivos, tipicamente a partir de um CD que ir analisar as modificaes do sistema de arquivos enquanto o sistema est no ar. A anlise viva tem uma menor funcionalidade para fins forenses, onde se busca um histrico do que aconteceu em um sistema, mas apropriada para se mapear, por exemplo, atividades de vrus ou ataques sistemas enquanto estes esto acontecendo. 5.4.1.2. Authopsy Forensic Browser O Authopsy Forensic Browser (AFB) uma evoluo do kit Sleuth que usa as mesmas ferramentas e a forma de anlise do kit, porm com um diferencial: por ser grfico e apresentar uma aparncia amigvel de gerenciador de arquivos, permite que o trabalho de extrao e anlise de dados seja feito muito mais rapidamente.

5.5. Honeypots como ferramenta Forense


J foram vistas todas as vantagens tecnolgicas do uso de um honeypot em uma rede, porm ainda h vantagens jurdicas em se utilizar um honeypot. Inicialmente, no entanto, necessrio (re)citar que os honeypots so uma ferramenta de segurana, e como tal, visam impedir a invaso de um sistema em produo, e ao impedir que a invaso seja cometida com sucesso, os honeypots automaticamente modificam o crime cometido pelo invasor. Se o invasor iniciou suas atividades com o objetivo de invadir um site X (e conseqentemente causar um dano que pode ser medido pelo prejuzo sofrido pela vtima), quando os honeypots fazem com que o invasor ataque e afete um outro site, que no est em produo, o dano menor, e, conseqentemente a gravidade do crime tambm. Na cena jurdica chama-se o ato de levar um criminoso a no cometer um crime conforme o planejado de Aberratio Ictus (erro de execuo). Podemos citar um exemplo bastante esclarecedor de como a Lei v uma ferramenta que leva um criminoso a cometer um crime diferentemente de como planejou, com implicaes legais diferentes para cada caso:

75

Cenrio do exemplo: H 3 pessoas, Ticio, Mvio e Licio. Tomemos Ticio e Mvio por irmos e Licio como filho de Ticio, logo sobrinho de Mvio. Imaginando-se que Ticio tenha um seguro de vida, do qual Licio beneficirio, e Licio, encontrando-se em dificuldades financeiras, decide por assassinar o prprio pai e assim obter uma vantagem financeira, onde o planejamento prvio do crime torna-o doloso, e no caso deste exemplo, com o agravante de ser por "motivo torpe ou vingana", o motivo torpe sendo a razo monetria do crime. Certo dia os irmos Ticio e Mvio se encontram em um bar noite, e Licio, sabendo que ambos estaro cansados ou sob o efeito do lcool na volta da visita ao bar, mune-se de uma arma de fogo e se esconde atrs de um objeto pelo qual Ticio e Mvio certamente vo passar. No momento em que Ticio e Mvio passam, Licio dispara sua arma, mas pela posio em que vinham Ticio e Mvio, ou por causa da falta de iluminao, ou qualquer outro motivo, Licio assassina Mvio por engano. Neste momento, perder-se-ia os agravantes e o dolo do crime, afinal Licio no pretendia matar Mvio, mas sim Ticio. Porm a legislao brasileira prev este caso e confere ao assassinato de Mvio as mesmas caractersticas dolosas e torpes de como se o crime tivesse sido cometido com sucesso contra Ticio. Porm, se Ticio tivesse se precavido anteriormente e adquirido um boneco que fosse altamente confundvel consigo, e Licio disparasse sua arma contra o boneco, errando a pessoa Ticio e "matando" a isca, o crime (que era o assassinato de Ticio), se descaracterizaria, se no fosse por um outro artefato legal que permite que o crime se transforme, nesse caso do "homicdio de Mvio" (no primeiro caso) para a "tentativa de homicdio de Ticio, com agravantes". Neste caso do boneco, a condenao de Licio muito mais branda do que no caso em que Mvio foi assassinado erroneamente, mas o dano causado foi incomparvel, quando se pesa o valor de se reparar um boneco com o valor de uma vida (a vida de Mvio, assassinado erroneamente no primeiro caso, ou a vida de Ticio, caso no houvesse nem Mvio nem o boneco para receberem os disparos). Juridicamente, em um crime digital, os honeypots tem mesma a funo que o boneco de Ticio no exemplo. Com a invaso de um honeypot, diminui a parte danosa do processo cvel, porm a premeditao do ato criminoso e sua execuo se mantm, visto que o criminoso digital teria efetivamente "assinado Ticio", atravs do ataque a um servidor

76

qualquer, porm ao faz-lo contra um honeypot, o criminoso afetou apenas um sistema menos importante. Uma grande vantagem legal do uso de um honeypot que ele se torna uma prova altamente confivel do crime, primeiro por armazenar em vrias camadas os logs de acesso (honeypot Gen II) - fazendo com que os registros histricos no sejam facilmente corrompidos, tambm por permitir alto grau de interao com o criminoso, e tambm por ser facilmente removido do ar para anlise da invaso. Assim, anlogamente se permite fazer uma anlise forense com as ferramentas de anlise que possui o mesmo valor de um exame de corpo de delito legal, inclusive com os registros histricos do sistema que demonstram todas as aes do invasor. Com as lacunas existentes nos sistemas de segurana mais comumente usados na internet, necessrio utilizar ferramentas capazes de interagir com os criminosos digitais e de fornecer subsdios para que os ataques, ferramentas e vrus sejam analisados, de modo que seja possvel se prevenir contra as aes dos atacantes digitais. Os honeypots e as honeynets permitem que os administradores de rede diminuam o risco aos quais seus sistemas esto expostos e ajudam a entender a maneira como o ataque foi feito.

5.6. Conluso
A legislao brasileira se encontra moderadamente preparada para processar tanto civil quanto criminalmente, alguns dos crimes virtuais mais comuns. Certas modalidades de crimes, no entanto, carecem de legislao mais apropriada para que se puna apropriadamente o transgressor. Logo, tudo o que falta para que mais criminosos virtuais sejam capturados um melhor preparo das polcias tcnicas e uma melhoria na preparao da magistratura brasileira, de modo que esta estivesse apta a julgar casos de crimes digitais.

77

Concluso

Neste trabalho foi apresentada a tecnologia de honeypots como uma ferramenta vlida para se preencher a lacuna de segurana que existe entre os Firewalls e os IDSs. Aps estudados os principais meios de ataque e os atacantes mais comuns, os firewalls e suas fragilidades, os IDSs e seus problemas, os honeypots se apresentam como ferramentas teis na preveno de invases a sistemas de produo e no estudo de novas tcnicas e ferramentas de invaso usadas pelo submundo digital. Perante a lei brasileira, o uso das ferramentas digitais aparece surpreendentemente bem regulamentado, em contrapartida ao que se acreditava anteriormente: muitos crimes digitais j se encontram cobertos pela legislao, e h projetos de lei j em fase final de aprovao. Juridicamente, v-se que as ferramentas de segurana servem no processo criminal como "testemunhas" ou como "provas materiais", e que o uso de honeypots quando estes conseguem evitar o dano aos sistemas de produo acaba por mitigar tambm a gravidade do crime cometido, logo amenizando quaisquer punies legais que possam ser aplicadas ao invasor.

79

Referncias Bibliogrficas

[CAM97a] CAMPANA, C. Ferramentas de Segurana http://www.rnp.br/newsgen/9711/seguranca.html , acessado em maro/2004; [FRA99] NED, F. Introduo a IDS - http://www.rnp.br/newsgen/9909/ids.html#p5, acessado em maro/2004 [CAM97b] Rede Nacional de Ensino e Pesquisa Segurana. Voc se preocupa com isso? http://www.rnp.br/newsgen/9705/n1-3.html, acessado em maro/2004 [LAN03] SPITZNER, L. Honeypots, Values and Virtues LanceSspitzner An Introduction to Intrusion Detection Systems http://www.tracking-hackers.com acessado em maro/2004 [INN01] INNELLA, P. An Introduction to Intrusion Detection Systems http://www.securityfocus.com/infocus/1520 , acessado em maro/2004 [INN04] INNELLA, P. Infocus: Yearly Statistics Paul Innella and Oba McMillan, Tetrad Digital Integrity, LLC - http://www.securityfocus.com/infocus/2720, acessado em maro/2004 [SHI00] Shirey Internet Security Glossary - http://www.ietf.org/rfc/rfc2828.txt, acessado em maro/2004 [TRE04] Trend Micro Inc Trend Alerts http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?Vname=WORM_MYD OOM.A, acessado em maro/2004

80

[NOR2004] Symantec Inc Virus reports http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.f@mm.html acessado em maro/2004 [MCA04] McAfee Inc McAfee Security http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100983, acessado em maro/2004 [GER99] GERLARCH C. O ataque do script Kiddie http://www.rnp.br/newsgen/9905/kiddie.html, acessado em maro/2004 [MEI2003] MEINELL C. The berhacker II: More ways to break into a computer http://www.happyhacker.org/tuh.shtml, acessado em maro/2004 [HAC04] Hacking Exposed - http://www.hackingexposed.com/tools/tools.html, acessado maro/2004 [CHE04a] Check Point's Foundation Technologies http://www.checkpoint.com/products/solutions/technologies.html, acessado em abril/2004 [FIR02] Firewall.net - http://www.firewall-net.com/en/, acessado em abril/2004 [CHE04b] Check Point Application Intelligence http://www.checkpoint.com/products/downloads/applicationintelligence_whitepaper .pdf, acessado em abril/2004 [CHE04c] Statefull Inspection Technology http://www.checkpoint.com/products/downloads/Stateful_Inspection.pdf, acessado em abril/2004 [WIL03] Firewall - http://www.wilders.org/firewalls.htm, acessado em abril/2004 [LOP97] LOPES, R. http://www.rnp.br/newsgen/9708/n3-1.html, acessado em abril/2004 [GHU02] GURKHA, G. www.madison-gurkha.com/publications/ nordu2002/nordu.htm, acessado em abril/2004 [SHI00] SHIRLEY R. http://www.ietf.org/rfc/rfc2828.txt, acessado em abril/2004 [CHA97] CHAPMAN B.; ZWICKY E. Building Internet Firewalls [CHE97] CHESWICK B.; BELLOVIN S. Firewalls And Internet Security [GAR99] GARFINKEL S.; SPAFFORD G. Company Practical UNIX Security [MIC04] www.microsoft.com/products/isaserver/default.asp, acessado em abril/2004

81

[CIS03] Strategies to Protect Against Distributed Denial of Service (DDoS) Attacks http://www.cisco.com/en/US/tech/tk583/tk385/technologies_white_paper09186a008 0174a5b.shtml, acessado em abril/2004 [BLO03] BR-LINUX.ORG http://brlinux.linuxsecurity.com.br/noticias/001083.htm, acessado em abril/2004. [HON02] O PROJETO HONEYNET, Conhea o seu Inimigo, traduo: Ktia Aparecida Roque. Editora Makron Books, So Paulo, 2002. [HBR00] HONEYPOTBR, Projeto Honeypot Brasil FAQ (Perguntas freqentes), http://www.honeypot.com.br, acessado em abril/2004. [NSO03] NIC BR Security Office, Brazilian Computer Emergency Response Team, http://www.nbso.nic.br/docs/reportagens/2003/2003-06-24.html, acessado em abril/2004. [FON01] FONSECA, ANTONIO MARCELO FERREIRA DA. Projeto Pliscka O Nosso Primeiro Honeypot na Internet [SAR01] SARTINI, HUMBERTO. Ferramentas de estudo de segurana Projeto HoneyPotBR, http://web.onda.com.br/humberto, acessado em abril/2004. [RLW03] RESELLERWEB, Armadilha para os hackers http://www.resellerweb.com.br/shared/print_story.asp?id=42776, acessado em abril/2004 [VAB04]VERDADE@ABSOLUTA. Deteco de Sistema Operacional Remotamente via o FingerPrinting da Pilha TCP/IP, http://www.absoluta.org/absoluta/seguranca/seg_detect_os.html, acessado em 07/04/2004 [GEN03] THE HONEYNET PROJECT. Know Your Enemy: GenII Honeynets, http://www.honeynet.org/papers/gen2/, acessado em 13/04/2004 [PFI02] THE HONEYNET PROJECT. Passive Fingerprinting, http://www.honeynet.org/papers/finger, acessado em 01/04/2004. [LAN03] HONEYPOT BY LANCE SPITZNER. Honeytokens: The Other, ww.trackinghackers.com Last updated 21 July, 2003, http://www.securityfocus.com/infocus/1713, acessado em abril/04

82

[NIC03] THOMPSON, NICHOLAS FELLOW. The New York Times, April 28, 2003. http://www.newamerica.net/index.cfm?pg=article&pubID=1205, acessado em abril/2004. [HNK03] HONEYTOKENS. O Prximo Nvel dos Honeypots. http://www.paesdebarros.com.br/artigos.html, Domingo, Fevereiro 23, 2003, acessado em abril/2004

[PRO04] Prof. LYCIO P. http://www.opencs.com.br/infocenter/download/arquivo/Palestras%20CIAB%20200 3/Fraudes_Eletronicas/Provas_fraudes_eletronicas.pdf, acessado em 19/04/2004 [REN04a] OPICE R.; CANHA J. Os crimes eletrnicos e seus enquadramentos legais (The Electronic Crimes and their Legal Status) Caderno LegalJornal Gazeta Mercantil, acessado 15/04/2004 [ALE04a] COELHO A. Roubo de Identidade via Internet - Cartes de Crdito e Informaes Bancrias/Brasil - Estados Unidos (Identity Theft via Internet - Credit Cards and Accounting Information/Brazil - The United States) - 2004 [CAR04a] CHAVES C. Identificao da Autoria nos Cibercrimes (Identification of the Perpetrator in Cybercrimes) - 2004 [OMA04a] KAMINSKI O. Brazil: Os vrus de computador e a legislao penal brasileira (Brazil: the computer virus and the Brazilian Criminal Law) - 2004 [ALE04b] COELHO A. Crime e Internet no Brasil - A Lei 9.296/96 como soluo para a lacuna Jurdica atual no que tange s invases de bancos de dados, servidores e computadores pessoais via Internet (Crime and Internet in Brazil - The Law No. 9.296/96 - 2004

83

[VIN03] CARNEIRO V. Dos Crimes de Pirataria pela Internet e sua Representao (The Piracy Crimes throught the Internet and their Representations) - 2003

[DEM03] REINALDO FILHO D. Crime de Divulgao de Pornografia Infantil pela Internet - Breves Comentrios Lei 10.764/03 (The Disclosure Crime of Child Pornography through the Internet - Comments on Brazilian Law No. 10.764/03) - 2003 [DEM03b] REINALDO FILHO D. Questes Tcnicas Dificultam Condenaes por Crimes cometidos pela Internet - 2003

[REM03a] OPICE R.; GOMES M. O Novo Cdigo Civil e as Relaes Jurdicas Virtuais (The New Brazilian Civil Code and the Virtual Legal Transactions) - 2003

[AMA03] VIDONHO A. A Nova Responsabilidade Civil do Incapaz pelos Atos Praticados pela Internet - 2003

[AIR03] ROVER A.; OLSEN L. Validade Jurdica de Documentos Eletrnicos assinados com Infra-Estrutura diferentes a ICP-Brasil - 2003 [MAR03] KNOOP M. Anlise forense: um mundo sem fronteiras - 2003 [JAR03] BEZERRA J. A Interceptao do Contedo dos E-mails e o Cabimento como Meio de Prova - 2003 [MAR03] PAIVA, M. A utilizao da lei do fac-smile para o e-mail - .2003 [THA03] GUARINO, T. O Software e o Regime Jurdico Aplicvel (The Software and the Applicable Legislation) - 2003

84

[MAR03] PAIVA, M. A autenticao de documentos no novo Cdigo Civil (The certification of documents according to the New Brazilian Civil Code) - 2003 [MAR03b] PAIVA, M. O impacto do novo Cdigo Civil nas relaes virtuais (The impact of the new Brazilian Civil Code on virtual relations) (article in Portuguese)- 2003 [UKL03] COMISSION, L. Difamation and the Internet - A Preliminary Investigation (Difamao e a Internet - Uma Investigao Preliminar) Report prepared by the Law Comission - UK (Dec/2002). Relatrio preparado pela Comisso Legal do Reino Unido (Dez/2002).Law Comission UK - 2003 [REN03c] BLUM, R. O novo Cdigo Civil e a internet (The New Civil Code and the Internet) (Article in Portuguese)Gazeta Mercantil - 2003 [REN02] BLUM, R e ABRUSIO, J.. Crimes Eletrnicos (Electronic Crimes) (article in Portuguese) CBEJI - 2002 [FLA02] SIQUEIRA, F. Furto, Supresso de Dados Sigilosos Consignados em Sites na Internet de Acesso Restrito e o Estelionato Virtual - 2002 [ALE02] DAUON, A. Adultrio Virtual (Virtual Adultery) - 2002 [LUC02] BARROS, L. O Crime na Era da Inform@o - 2002 [SAN02] NOGUEIRA, S. O Princpio da Interveno Mnima e a Lei Penal Especial para os Crimes de Informtica - 2002 [DAV02] BRASIL, D. Meios Eletrnicos de Prova (Legais ou No?) -2002 [TUl02] VIANNA, T. Hackers: Um Estudo Criminolgico da Subcultara Cyberpunk - 2002

85

[TUL02b] VIANNA T. Dos Crimes pela Internet - 2002 [EME02] PASSOS, E. Internet e Legislao - 2002 [PED01] REZENDO, P. Onde esto os verdadeiros crimes de informtica? - 2001 [GIB01] BRUNO, G. O Sigilo de Dados e a Privacidade On Line - Anteprojeto de Lei do Comrcio Eletrnico - 2001 [ANG01] BRASIL, A. Incoerncia: Lei Anti-Spam americana o torna legal - Angela Bittencourt Brasil - 2001 [TUL01] VIANNA, T. Dos Crimes por Computador - 2001 [REN00] BLUM, R. A Internet e os Tribunais - 2000 [ALE00] DAOUN, A. Os Novos Crimes de Informtica - 2000 [PAT01] PECK, P. Direito Digital [AUT04] Autopsy Forensic Tools acessado em abril/2004 http://www.sleuthkit.org/autopsy/desc.php [SLE04] Sleuth Forensic ToolKit acessado em abril/2004 http://www.sleuthkit.org/sleuthkit/desc.php