O GURU ESTAVA ERRADO!

Estar 100% seguro possvel e vivel!

DANIEL ZILLI
1 edo
SUMR!O
Agradecimentos...........................................................05
Prefcio.................................................................06
Introduo...............................................................07
Captulo nico...........................................................09
1. Segurana Fsica.................................................11
2. Softwares........................................................13
2.1 Servidor Linux..................................................13
2.2 Servidor Windows................................................14
2.3 Estao Windows.................................................15
3. Pessoas..........................................................17
Concluso................................................................19
Apndice A...............................................................21
Feedback.................................................................23
AGRADE"!ME#TOS
Desta vez no vou agradecer nngum da fama e muto menos da comundade. Ouero
dzer o meu muto obrgado a todos os professores de todos os nves que ncentvam e
apam o software vre. Ser professor um dom (que aguns no possuem, mas anda
assm do aua) e uma profsso que merece muto respeto.
Parabns a todos os professores!
$RE%"!O
Escrever esse pequeno vro sobre segurana fo um tremendo desafo. Isso porque
escrever sobre um assunto | to exposto como segurana e anda coocar a cara para
bater ndo contra todos dzendo que exste segurana 100%, no fc. Desafo gostoso
e que vaeu pena. Mas para que sso acontecesse fo precso quebrar aguns
paradgmas. Camnhando para o ado contrro dos atuas vros de segurana, O GURU
ESTAVA ERRADO! um vro de fc etura, ob|etvo, pequeno e muto prtco. Aqu no
tem enroao ou enchmento de nga s para ganhar pgnas.
Voc poder por medatamente em prtca o que aprendeu no vro; sso graas ao
formato e a manera que o mesmo se encontra.
Os conhecmentos apresentados nesse vro so fruto da mnha expernca nas
empresas e muta etura. Estou muto contente com o resutado do vro e espero ter
consegudo passar a voc etor uma nova noo sobre o que segurana e como
devemos trabahar com ea.
!#TRODU&'O
Fugndo dos vros de segurana de qunhentas e poucas pgnas, este um vro
totamente prtco, do tpo de evar |unto para o trabaho e segur as nstrues de uso.
Aguns podem at vr dzer que so puras receitas de bolo, mas eu prefro dzer que so
uma metodologia para implantao de segurana. Mas para que tudo ocorra bem, vamos
escarecer agumas cosas e quebrar os prmeros paradgmas.
Segurana no um produto e sm um processo. A segurana de uma
organzao no depende apenas de um fator, mas sm de vros.
Segurana esttca segurana morta!
Segurana no frewa! O frewa apenas um dos componentes
usados para segurana....apenas um! Lembre-se dsso.
A segurana no pode ser compcada! Ouanto mas voc compca maor
a chance de ago sar errado, am de dfcutar a posteror manuteno (a
menos que se|a sso que a pessoa quera: fazer ago que nngum
entenda para que somente ea possa dar manuteno). A fosofa Unx
K.I.S.S (keep t smpe stupd) dz tudo! Smpcdade no sgnfca baxa
quadade. Tente sempre fazer as cosas smpes, mas com efcnca.
A mehor manera de trabahar com segurana de forma preventva.
Exstem vras razes para nos preocuparmos com segurana, conforme
avso da NIC BR Securty Offce. Agumas das aes que uma pessoa ma-
ntenconada pode fazer se consegur domnar o seu computador so:
utzar seu computador em aguma atvdade cta, para
esconder sua rea dentdade e ocazao.
utzar seu computador para anar ataques contra outros
computadores.
utzar seu dsco rgdo como repostro de dados.
meramente destrur nformaes (vandasmo).
dssemnar mensagens aarmantes e fasas.
er e envar e-mails em seu nome.
propagar vrus de computador.
furtar nmeros de cartes de crdto e senhas bancras.
furtar a senha da conta de seu provedor, para acessar a Internet
fazendo-se passar por voc.
furtar dados do seu computador, como por exempo nformaes
do seu Imposto de Renda.

Ouem faz a segurana voc e no apcatvos ou frmuas mgcas. No
acredte que um nco programa r he dexar seguro. Voc o
responsve, no se esquea dsso.
Por tmo, estar 100% seguro possve e vve. A grande pergunta que
se deve fazer no se estou reamente seguro, mas sm por quanto
tempo estou seguro( Tempo a paavra-chave. Aps apcar tudo que
eu nesse vro, voc poder estar 100% seguro, mas da vem a questo,
por )ua*to te+po( A meu caro coega, nngum no mundo pode
responder. Voc pode fcar seguro por 10 segundos ou uma semana. Tudo
va depender da descoberta de novas fahas, vunerabdades ou
funconros ma ntenconados. Por sso que nssto: segurana um
processo constante e voc deve estar sempre atento e atuazado, caso
contrro, de nada vaeu o seu esforo.
Para comear o que nteressa, dvd em trs partes bem smpes a abordagem sobre
segurana de uma organzao. Abordando esses trs pontos, teremos ento a
segurana dos nossos sonhos.
Segurana Fsica
Dz respeto a tudo que envove hardware e o ambente de trabaho.
Software
Envove tudo que dz respeto a softwares. Desde apcatvos bscos at ao sstema
operacona.
Pessoas
Toda e quaquer nterveno humana tratada aqu.
"A$,TU-O .#!"O
1/ SEGURA#&A %,S!"A
Na sua grande maora o avo prncpa das tentatvas de ataques e nvases so os
servdores de uma organzao. Por estarem geramente conectados 24 horas na
nternet, tornam-se avos bvos e de fc acesso. | que so ees que esto na mra, vou
dar uma ateno especa ao abordar esse assunto.
Do que adantam todas as mqunas atuazadas, sstema operacona sem vrus e um
beo de um frewa funconando se o servdor fca numa mesa onde quaquer um tem
acesso ee? A segurana fsca muto mportante e deve fazer parte da cutura de
uma organzao. Comearemos aqu os passos para uma segurana 100%. Es os
passos para a segurana fsca:
1. O servdor no estao de trabaho! No use o servdor para fcar navegando
sem rumo na nternet ou fazer trabaho de aua. O servdor s tem uma funo:
servr servos.
2. O servdor deve fcar soado das estaes de trabaho. O acesso fsco ao
servdor deve ser restrto. Mutas das brechas de segurana encontradas nas
corporaes, so cupa das prpras corporaes, | que essas brechas dzem
respeto ao prpro ambente de trabaho, onde potcas de portas abertas;
escrtros sem paredes determnam que os seus servdores fquem expostos a
vstantes. Ouero dzer com sso que o ugar dea do servdor fcar trancado
numa saa cmatzada e a chave dessa saa deve pertencer somente ao chefe do
CPD, gerente de TI, dretor de nformtca...etc. Entendeu? Somente o chefe ou
agum de confana deve ter acesso a essa saa.
3. Prevna-se! Deve exstr um esquema de recuperao dos dados na organzao
caso acdentes, roubo ou catstrofes aconteam. Faa sso ou se pergunte
"porqu???? depos!
4. Nada adanta dexar o servdor trancado se as mdas de backup fcam para o
ado de fora. O backup deve fcar |unto ao servdor ou num outro ugar seguro.
5. A rede deve possur um sstema de no-break e ser estabzada com energa de
quadade.
6. O cabeamento deve ser de quadade e feto por quem entendo do assunto. Os
cabos de rede devem ser protegdos contra exposo (no fcar esparramado pea
saa).
7. Armros com nformaes sgosas devem permanecer trancados e soados.
8. Ftas, reatros e outras mdas com nformaes sgosas que no tm mas
uso devem ser destrudos e no apenas |ogados fora.
9. Caso quera, voc pode ser paranco e retrar o tecado e montor do servdor
ou usar esses equpamentos especas de trava.
10. Senha no setup da mquna tambm uma boa da.
11. Identfque todas as pessoas que entram em sua organzao. Crach nees!!
Mas uma empresa no vve s de servdores, temos tambm em seus parques
tecnogcos as chamadas estaes de trabaho, que nada mas so do que o
computador que usamos para trabahar no da a da. Agumas restres fscas podem
ser fetas para aumentar a segurana, e so eas:
12. O passos 3,4,5,6 e 10 tambm devem ser apcados nas estaes.
13. Retrar de todas as estaes o drve de dsquete e cdrom. Fao sso por vras
razes. Se sua empresa est conectada em rede, voc no va precsar usar o
dsquete ou cdrom para copar arquvos. Caso voc venha acessar dsquete ou
cdrom de fora (envado por centes, fornecedores...) dexe os drves em uma nca
mquna, e de prefernca na do chefe. Voc com sso evta que pessoas ma-
ntenconadas ou por ngenudade venham trazer programas macosos ou vrus
para dentro da empresa, sem contar com a possbdade de roubo de
nformaes.
0/ SO%T1ARES
No captuo passado escrev sobre o acesso fsco do servdor e os cudados que devemos
ter ao escoher o seu ugar. Vamos ento agora para o prato prncpa, os softwares. Para
fcar bem caro, dvd as expcaes entre servdor e estaes de trabaho.
0/1 Servi2or -i*u3
14. As pessoas tm por costume ou fata de competnca, fazer a nstaao
padro ou competa dos sstemas, no mportando se o que nstaou va ser usado
ou no. Ao nstaar o sstema operacona do servdor, i*stale so+e*te o
*e4essrio. No nstae nada que voc ou os servos que rodaro no servdor
no vo usar. Uma dca fazer a nstaao mnma e depos r acrescentando os
softwares que sero necessros ou requstados peos servos.
15. Desabte todos os servos que no esto sendo usados. Por padro quando
voc nstaa o Lnux nas mas dversas dstrbues, vros servos so
habtados por padro como ssh, httpd, ftp. O dea desabtar tudo e somente
com a necessdade r berando os servos requerdos. Caso o uso desse servo
se|a apenas temporro, no se esquea de desabtar aps o uso.
16. Este passo muto mportante! Atuali5e se+pre seu siste+a. Agumas
dstrbues fazem sso automatcamente outras no, por sso este|a sempre
atento aos updates da sua dstrbuo. Voc pode fazer sso assnando boetns de
avso sobre atuazaes que agumas dstrbues possuem ou vstando
daramente seu repostro. Lembre-se: u+ siste+a atuali5a2o u+ siste+a
seguro.
17. Passe e use um antvrus para assegurar que no exsta nem um hspede
ndese|ado na sua mquna. A F-PROT e a Panda tm tmas soues freeware
para Lnux.
18. No acumue todas as funes em um s servdor. Coocar banco de dados,
servdor de web, ma, proxy e frewa em um s servdor sucdo. Separe as
apcaes conforme o tamanho e uso. Banco de dados num servdor, web e ema
noutro e frewa e squd em outro. Eu se que sso representa mas gastos, mas
mas seguro.
19. Recompar o kerne com somente drves e funes que o servdor precsa
tambm uma vaosssma dca. E | que voc va mexer no kerne mesmo, que
ta apcar um patch de segurana? Exstem vros patches de segurana na net.
Sugro http://www.openwa.com/nux ou http://pax.grsecurty.net . Esses patches
traro um aumento de segurana sgnfcatva ao sstema. Mas use somente um
desses dos, |amas os dos |untos.
20. Fu|a do bvo. A menos que voc reamente precse de software especfcos,
uma souo ntegente usar programas aternatvos aos deres de mercado.
Ouanto mas usado um programa, mas vsado ee fca. Sua organzao quer
usar um servdor DNS? Ento em vez de se afundar na compcao e buracos do
Bnd que ta usar o D|BDNS? Am de muto mas smpes mas seguro. Caso
precse de um smpes servdor http e acha o apache compcado e grande, tente
ento o Monkeyd. Exstem centenas de programas aternatvos e de quadade
(confra esse aspecto antes de fazer quaquer troca), faa uma busca no
http://freshmeat.net e descubra esse novo mundo.
21. Instae um frewa. Faa regras de frewa 4laras e o67etivas.
22. Controe o acesso! Atravs do squd faa controe de acesso sobre o contedo
e servos que os usuros tero dreto. Se o funconro precsa apenas do ema,
para que berar acesso http para ee?
23. Desabte a resposta do png do seu servdor. Seu servdor no precsa fcar
respondendo png(a menos se esse recurso se|a necessro para a organzao ou
terceros), | que este o prmero comando que se d para se ncar um ataque.
Para desabtar o png apenas ncua no seu arquvo rc.oca a segunte nha:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
24. Voc tambm pode obscurecer aguns dados dos servos que rodam no seu
servdor. Ho|e em da mutos tpos de scans fetos por cracker/newbes/curosos
esto a procura de servos vunerves, baseados |ustamente na verso retornada
peos daemons. No apndce B tem um nk para um artgo sobre o assunto.
25. Crptografa. Voc pode crptografar tudo! Desde o sstema de arquvos at as
transmsses de dados. Mas cudado para no perder a useabdade. Um estudo
de vabdade precsa ser feto antes.
26. S exponha o sstema Internet aps competar todos os procedmentos de
segurana.
2.2 Servidor Windows
Se infelizmente voc da gerao clique, tem medo de teclado e gasta um bom dinheiro
que no seu, ento provavelmente voc usa Windows como servidor. ara esse mal,
algumas das possveis solu!es so"
#$. Mude com urgncia para o Linux.
#%. & verdade d'i...mas no existe segurana 100% com o Windows.
#(. &o instalar o sistema operacional, instale somente o necessrio. )o instale
nada que voc ou os servios que rodaro no servidor no vo usar.
*+. )o acumule todas as fun!es em um s' servidor.
*,. -ecompile o .ernel com somente os drives e fun!es que o servidor precisa....te
peguei/ "01
*#. 2nstale um firewall.
**. & primeira coisa a se fazer num sistema operacional Windows
passar3instalar3atualizar um antivirus. -ecomendo os freewares 4ree0&v 5www.free0
av.com 1 e o &67 5www.grisoft.com 1. )o que eu se8a contra o )orton ou 9cfaee,
mas que eles so pesados demais.
*:. ;esabilite todos os servios que no esto sendo usados.
*<. &gora faa todas as atualiza!es de segurana do sistema operacional
dispon=veis.

*>. ?imite o n@mero de contas no sistema. ;esabilite contas desnecessArias e
duplicadas para um mesmo usuArio.
*$. -enomeie a conta BadministradorB. 2sso evita pelo menos que a grande maioria
dos atacantes novatos tentem se logar facilmente utilizando a conta de
administrador do sistema operacional.
*%. ;esabilite as portas que no se encontram em uso.
*(. Ctilize sempre o sistema de arquivos )4DS.
:+. Se voc dese8a um n=vel de segurana maior, habilite o E4S 5EncrFpted 4ile
SFstem1 em seu servidor.
:,. Grie uma conta de usuArio restrito para o uso diArio.
:# .Somente quando realmente necessArio utilizar a conta de administrador.
:*. ;efinir permiss!es somente de leitura para o grupo de usuArios.
44. Obrgue seu usuros a gravarem documentos apenas no servdor.
0/8 Esta9:o 1i*2o;s
Como nfezmente a grande maora das estaes de trabaho anda usam o Wndows,
focare os passos a segur nessa pataforma.
:<. Se a melhor escolha que o ?inuH no poss=vel, ento mude com urgncia
para o Windows #+++ ou I. J Windows (% uma peneira s'.
:>. -epita os passos #(,*#,** e *<.
:$. ;esinstale tudo que o funcionArio no use no trabalho seu do dia0a0dia, isso
inclui icq, .azaa, menssenger, cad, corel, 8ogos, etc. J funcionArio tem que
entender que o computador uma ferramenta de trabalho, assim como a pA para
o pedreiro e o giz para o professor. J funcionArio no tem que ficar misturando
coisas pessoais com o trabalho. 2sso no bom e sempre dA problemas.
:%. Kamais... eu escrevi K&9&2S..utilize o 2nternet EHplorer ou E 9C2DJ 9E)JS o
Jutloo.. Droque os dois pelo 9ozilla ou 4ireboH e Dhunderbird respectivamente.
Somente com essa troca, a incidncia de v=rus ira diminuir significativamente.
:(. Cm @ltimo aviso/ &s m=dias de instalao e bac.up do Windows devem estar
livres de v=rus e programas maliciosos. )o adianta voc formatar sua mAquina se o
seu cd de instalao vem com v=rus 8unto. &credite ou no, isso mais comum do
que se imagina, principalmente se o cd pirata.
8/ $ESSOAS
Chegamos no cacanhar de Aques da segurana: o ser humano. Ouerendo ou no,
somos o eo mas fraco da segurana e sso precsa ser trabahado para que possamos
mnmzar os rscos, e uma das maneras de fazer sso atravs da potca de
segurana. mprescndve que a organzao possua uma potca de segurana. Essa
potca serve para que todas as possves ameaas se|am mnmzadas e combatdas
efcentemente pea equpe de segurana responsve. Um exempo muto bom de uma
potca de segurana votada para usuro encontra-se no ste do Humberto S Sartn
(Apndce A). Agumas regras para o reforo dessa potca so stadas a segur:
50. Trenamentos e conscentzao sobre segurana so muto mportantes
tambm. Fca dfc voc querer cobrar segurana de um funconro se ee nem
sabe ao certo o que sso.
51. No fornecer dados pessoas, nmeros de cartes e senhas atravs de contato
teefnco.
52. Fcar atento a e-mas ou teefonemas soctando nformaes pessoas.
53. |amas acessar stes ou nks recebdos por e-ma ou presentes em pgnas
sobre as quas no se saba a procednca.
54. Sempre que houver dvda sobre a rea dentdade do autor de uma mensagem
ou gao teefnca, entrar em contato com a nsttuo, provedor ou empresa
para verfcar a veracdade dos fatos.
55. Eaborar sempre uma senha que contenha peo menos oto caracteres,
compostos de etras, nmeros e smboos.
56. |amas dexe uma senha em branco.
57. Nunca utzar como senha seu nome, sobrenome, nmeros de documentos,
pacas de carros, nmeros de teefones, datas que possam ser reaconadas com
voc ou paavras constantes em dconros.
58. Utzar uma senha dferente para cada servo.
59. Aterar a senha com freqnca.
60. No escrever a senha num pape e o dexar debaxo do tecado, na mesa ou
grudado no montor.
61. Para quem trabaha ou quer trabahar com segurana ou smpesmente o
abacax sobrou para voc, a paavra-chave para uma constante segurana
atuali5a9:o. Voc precsa se atuazar sempre. Sugro seeconar aguns stes de
segurana e vstar no mnmo trs vezes ao da. Agora ateno! i+pres4i*2vel
assnar um newsetter. Assnando um ou mas newsetters de quadade voc
estar recebendo em seu ma as tmas notcas sobre segurana, am das
tmas vunerabdades e avsos de segurana das mas varadas empresas. Por
sso se gue!
"O#"-US'O
Todo e quaquer computador deve passar peos passos descrtos no vro, no
mportando se o computador do presdente ou o controador de rego ponto. Para uma
segurana 100% todos devem fazer sua parte. Isso porque enquanto a gente "perde"
tempo com essa "cosa" de segurana tem um monte de "caras" tentando nos
pre|udcar, para no escrever outra cosa.
A busca da segurana dese|ada ao ambente de trabaho deve ser feta de forma smpes
e efcaz. Inssto nsso porque s exstem duas maneras de se ter acesso a um
computador. De forma egtma ou cta. A forma egtma quando voc acessa um
sstema atravs da forma convencona, apresentando um ogn e senha. A foram cta
quando voc expora fahas e vunerabdades do sstema e/ou ambente de trabaho.
No exstem frmuas ou ataques mgcos. Ou voc tem acesso egtmo ou expora uma
faha, assm que funcona. O grande trabaho que temos mnmzar ou zerar as fahas
(conhecdas) do sstema e trenar nossos funconros contra engenhara soca e
descudos no uso da nformao. Somente com conscentzaro e constante atuazao,
que estaremos sempre um passo a frente dos nossos nmgos.
Obrgado pea etura!
Abraos,
Dane Z
A$<#D!"E = A
Aguns nks seeconados para voc fcar anda mas por dentro do mundo da segurana.
"e*tros 2e ate*2i+e*to > i*4i2e*tes
Centro de Atendmento Incdentes de Segurana (CAIS-RNP)
http://www.rnp.br/cas
Centro de Emergnca em Segurana da Rede Tch (CERT-RS)
http://www.cert-rs.tche.br
NIC BR - Grupo de Segurana
http://www.nc.br/nbso-po.htm
SACC - Setor de Apurao de Crmes por Computador (Poca Federa)
sacc@nc.br
$ortais 2e segura*9a
Securty Focus
http://www.securtyfocus.com
SecForum
http"33www.secforum.com.br
Lnux Securty
http://www.nuxsecurty.com.br
SecurtyDocs
http://www.securtydocs.com
Do4u+e*ta9:o e pu6li4a9?es
Humberto S Sartn
http://web.onda.com.br/humberto/ndex.htm
Cartha de Segurana para Internet
http://www.cg.org.br/acoes/cartha.htm
Lnuxman.pro.br
http://www.nuxman.pro.br
RFCs about "Securty"
http://www.cert.dfn.de/eng/resource/rfc
Rede nacona de pesqusa
http://www.rpn.br
Dranch's HomePage - Lnux: A -REAL- O/S
http://www.ecst.csuchco.edu/-dranch/LINUX/ndex-nux.htm#trntyos
Outros
Obscurdade
http://www.nuxsecurty.com.br/sectons.php?op=vewartce&artd=4
Tom Dungan's coecton of nks
http://www.epm.orn.gov/-dungan/securty.htm
Computer and Network Securty Reference Index
http://www.testra.com.au/nfo/securty.htm
%EED@A"A
7ostou do livroL
Dem alguma d@vida, sugesto ou cr=tica L
Muer me a8udar a fazer a pr'Hima edio L
ara qualquer uma das perguntas acima entre em contato comigo. & sua opinio muito
importante.
Email" danielNzilli.gulinuHsul.org
Site" http"33zilli.gulinuHsul.org