Você está na página 1de 23

Material disponvel em

www.projetoderedes.com.br
P Po on nt ti if f c ci ia a U Un ni iv ve er rs si id da ad de e C Ca at t l li ic ca a d de e C Ca am mp pi in na as s
C CE EA AT TE EC C C Ce en nt tr ro o d de e C Ci i n nc ci ia as s E Ex xa at ta as s, ,
A Am mb bi ie en nt ta ai is s e e d de e T Te ec cn no ol lo og gi ia a
A An n l li is se e d de e S Si is st te em ma as s
P Pr ro op po os st ta a d de e S Si is st te em ma a A An nt ti i- -I In nv va as s o o
Disciplina de Redes e Comunicao de Dados II
Professor Andr BZ
Equipe:
Daniela Silveira 02002897 dc_silveira@yahoo.com.br
Flvio Cortez 03315082 flaviocortez@superig.com.br
Fbio Vasconcelos 01095173 fabiovas@br.ibm.com
Felipe Barbi 02022812 febarbi@terra.com.br
Guilherme Seleguim 02020519 cestarolli@infinito.it
Rody Vasconcelos 01076918 rodyps@br.ibm.com
Proposta de Sistema Anti-Invaso 2
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
R Re es su um mo o
Com as inovaes tecnolgicas as ameaas digitais evoluem e esto cada vez mais inteligentes e
poderosas. A rapidez com que se propagam e o montante do prejuzo que causam so nmeros para se
considerar. Este documento foi elaborado com o intuito de fornecer uma proposta de sistema anti-invaso
baseado nas ltimas ameaas digitais que foram divulgadas. O estudo para um sistema anti-invaso foi
voltado para as ameaas do tipo backdoor/trojan horse (porta dos fundos/cavalo-de-tria), porm,
algumas protees aqui discutidas podem abranger tambm vrus, que incorporem certas funcionalidades.
A proposta apresentada no almeja ser uma nica soluo, ou uma soluo definitiva para o tema
segurana da informao digital, nem to pouco ser comparada um sistema firewall ou sistema
antivrus. A proposta visa, portanto, minimizar as aes e propagaes das ameaas, evitando maiores
prejuzos. O Ice Eyes Security Agent pode ser baixado em http://ice-eyes.cjb.net.
P Pa al la av vr ra as s- -c ch ha av ve e
Segurana da Informao, Hackers, Crackers, Cavalo-de-Tria, Vrus, Redes de Computadores,
Invaso Computacional, Anti-Invaso.
A An nt ti i- -I In nv va as si io on n S Sy ys st te em m P Pr ro op po os sa al l
Systems Analysis
Computer Networks and Data Comunication II
Professor Andr B. Z.
S Su um mm ma ar ry y
With technological innovations the digital threats are progressing and are more smarts and
powerfull. The quickness that it propagates and the damages that it generates are numbers to consider .
This document was made to be an anti-invasion system proposal based on the last recently known digital
threats. The study for an anti-invasion system was made based on threats like backdoor / trojan horse,
but, some protections discussed here can be for some kinds of vrus that incorporate certain
functionallyties. The proposal shown here doesnt want to be the only solution, or a definitive solution for
the theme digital information security, or to be compared as an firewall system or as an antivirus
system. The proposal is to reduce the actions and propagations of the threats, preventing big damages to
happen.The Ice Eyes Security Agent can be downloaded at http://ice-eyes.cjb.net.
Proposta de Sistema Anti-Invaso 3
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
K Ke ey yw wo or rd ds s
Information Security, Hackers, Crackers, Trojan Horses, Vrus, Computer Networks, Systems
Invasion, Anti-Invasion.
1 1. . I In nt tr ro od du u o o
1. Ameaas digitais, i. e.,
software desenvolvido com a
possibilidade de causar danos
ambientes e sistemas
computacionais.
2. Porta dos fundos / cavalo-de-
tria, i. e., software para acesso
remoto. Seu nome originado da
lendria histria da guerra entre
gregos e troianos, representada
na obra Ilada de Homero.
3. Aparelho / mquina conectada
uma rede de conputadores.
4. Software que faz cpias de si
mesmo, por exemplo, de um
disquete para um HD, ou se
copiando em e-mails ou outro
mecanismo de transporte. Um
worm pode causar dano e
comprometer a segurana de um
computador, podendo chegar
escondido dentro de algum
software.
5. Na condio de filho do
principal encarregado do
National Computer Security
Center, rapaz inteligente e com
futuro promissor, Robert ficou
conhecido nos meios
jornalsticos por contaminar a
Internet, propositalmente, com
um vrus de nome Worm
(minhoca). Em pouco tempo,
inmeros computadores foram
infectados e entraramempane.
Em seu julgamento, Robert
afirmou que a contaminao no
tinha sido intencional, mas
pagou seu erro com uma pena
relativamente rigorosa, sendo
condenado a cinco anos de
priso com direito a liberdade
condicional. Hoje, os worms so
largamente disseminadas atravs
da Internet, propagando-se e
contaminando computadores em
massa, principalmente via e-
mail.
6. Pesquisa realizada pela
Mdulo Security para avaliar a
segurana da informao em
mbito nacional.
7. Empresa voltada segurana
da informao.
8. Especialista emcomputadores
Dentre as ltimas cinquenta threats
1
que foram divulgadas por empresas de
segurana da informao no decorrer deste projeto, quarenta eram do tipo
backdoor/trojan horse
2
. No de se admirar que a obteno de acesso remoto ao maior
nmero de hosts
3
possveis um objetivo bastante almejado, porm no to difcil de ser
alcanado atualmente.
Desde a criao do primeiro worm
4
por Robert Tappan Morris
5
em 03 de
Novembro de 1988 a preocupao com a segurana digital vem crescendo a cada ano, e
as ameaas com maiores recursos de inteligncia e disseminao.
O worm chegou at a ser comparado com a AIDS pela imprensa da poca,
sugerindo que colocaria um fim na chamada Era da Informao. Mais de uma dcada
depois ainda no estamos seguros e segundo dados fornecidos pela Nona Pesquisa
Nacional de Segurana da Informao
6
desenvolvida pela Mdulo Security
7
, h uma
tendncia de aumento quanto s ameaas, os riscos e os ataques no ano de 2004. 32% dos
entrevistados nesta pesquisa apontam os Hackers
8
/ Crackers
9
como os principais
responsveis por ataques e invases
10
aos sistemas corporativos e 60% indicam a Internet
como principal ponto de invaso. O vazamento de informaes foi apontado como a
ameaa mais crtica para o negcio das corporaes. Cada empresa foi vtima de
aproximadamente 38 ataques por semana no primeiro semestre de 2003 e os prejuzos
chegam a mais de um milho de reais, mas nota-se tambm que na maioria dos casos as
empresas no conseguem quantificar o prejuzo.
Fig.01 Prejuzos com ataques (Fonte: 9 PNSI).
Os principais responsveis por ataques e invases so os Hackers mas grande
Proposta de Sistema Anti-Invaso 4
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
que usa seus conhecimentos e
habilidades para invadir
sistemas, obtendo acesso a
informao. Normalmente no
danifica hardware / software em
suas empreitadas, deixando esta
atividade para os Crackers.
9. Oposto do Hacker, suas
habilidades e conhecimentos so
exclusivamente voltadas para
danificar equipamentos
computacionais fsicos e lgicos.
10. Obter acesso no autorizado
a sistemas computacionais
privados, tanto remotamente
como localmente,
comprometendo assim a
integridade dos dados, mesmo
que semfazer alteraes. Muitas
empresas no divulgamo fato de
teremsido invadidos commedo
de prejudicar sua imagem
perante os seus clientes e a
sociedade.
11. Estudo realizado pelo CSI-
Computer Security Institute /
FBI-Federal Bureau of
Investigation voltado
segurana da informao.
parte das empresas no consegue identificar a causa dos ataques e invases.
Fig. 02 Principais responsveis por ataques e invases (Fonte: 9 PNSI)
Embora os ataques identificados como sendo de Concorrentes no ultrapasse a
faixa de 1%, esta possibilidade no pode ser deixada de fora ou esquecida. O vazamento
ou roubo de informao, mesmo que na forma no digital, um fator preocupante. Um
acesso indevido uma base de dados pode significar anos de trabalho e informao
perdidos, podendo nunca mais serem recuperados.
A maior parte das empresas indica a Internet como o principal ponto de invaso
em seus sistemas. No estudo Computer Crime and Security 2003
11
cerca de 78% dos
entrevistados apontaram a Internet como o principal ponto de invaso em transaes
eletrnicas.
Fig. 03 Principais pontos de invaso (Fonte: 9 PNSI).
Proposta de Sistema Anti-Invaso 5
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
2 2. . D Di ig gi it ta al l T Th hr re ea at ts s
Proposta de Sistema Anti-Invaso 6
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
12. Disciplina do Curso
de Anlise de Sistemas.
A Teoria Geral de
Sistemas demonstra que
as cincias podem ser
vistas de uma mesma
forma (isomorfismo),
permitindo maior
aproximao entre as
fronteiras das cincias e o
preenchimento dos
espaos vazios entre elas.
Com a Teoria Geral de
Sistemas, os diversos
ramos do conhecimento
at ento estranhos uns
aos outros pela intensa
especializao e
isolamento conseqente
passam a tratar seus
objetos de estudo como
sistemas. Ex: Sistema
Fsico, Sistema Qumico,
Sistema Biolgico,
Sistema Psquico, Sistema
Social, Sistema Empresa,
Ecossistema, etc.
13. Tendncia ao mal
funcionamento ou no
funcionamento, tendncia
parar de funcionar.
Entropia vem do grego
entrope que significa
uma transformao e foi
originalmente
conceituada na segunda
lei da termodinmica e
refere-se perda de
energia em sistemas
isolados, levando-os
degradao,
desintegrao e ao seu
desaparecimento. Na
Teoria Geral de Sistemas,
a entropia a tendncia
que os sistemas tempara
o desgaste, para a
desintegrao, para o
afrouxamento dos padres
e para um aumento da
aleatoriedade. Se a
entropia significa a
tendncia perda,
desintegrao e
desorganizao, o reverso
da entropia a entropia
negativa ou negentropia.
A negentropia o
suprimentoda informao
adicional capaz, no
apenas de repor as perdas
das mesmas, mas
tambm, de proporcionar
a integrao e a
organizao no sistema.
14. Estado de
normalidade de sistemas,
funcional. O conceito de
homeostase ou
homeostasia nasceu na
fisiologia animal com
Claude Bernard (1813-
A Teoria Geral de Sistemas
12
ensina que, todo sistema, mesmo que construdo
beneficamente(sem nenhum cdigo malicioso ou falta de tica do desenvolvedor), tendem
entropia
13
, mesmo que em estado de homeostasia
14
, independentemente de sua complexidade.
Sofrem, portanto, influncias do meio ao qual se encontram, influncias estas que agem
diretamente no funcionamento dos sistemas. As ameaas digitais fazem parte do mundo
virtual, assim como assaltantes e terroristas compem o mundo real. Dependendo do caminho
que percorra, algumas ameaas podero surgir pela frente ou mesmo que no v para lugar
algum, elas podero vir at voc. As ameaas evoluem com as inovaes tecnolgicas e ficam
cada vez mais poderosas e dinmicas. O pensamento imita a ao e a ao imita o
pensamento, portanto no podemos nos esquecer que este tipo de software no criado
sozinho e h sempre uma, ou vrias, cabeas pensantes por trs dos monitores, em algum lugar
do mundo, construindo estes softwares. Em 1949, no Instituto de Estudos Avanados em
Princeton, New J ersey, em um documento intitulado "Theory and Organization of
Complicated Automata", John von Neumann
15
props que era teoricamente possvel que um
programa de computador se replicasse. O documento inclui um modelo do que hoje
conhecido como vrus de computador.
Fig.04 John Von Neumann, Albert Einstein e outros senhores em Princeton (Fonte: Emilio Segr
Visual Archieves - http://www.aip.org/history/esva/ html/einstein_e34.html).
Fig.04 Introduo teoria, Theory and Organization of Complicated Automata, John Von
Neumann (Fonte: http://www.walenz.org/vonNeumann/).
Proposta de Sistema Anti-Invaso 7
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
1878) que afirmou que
Todos os mecanismos
vitais tm por objetivo
conservar constantes as
condies de vida no
ambiente interno e que
A estabilidade do meio
interno a condio
primordial da vida livre.
Cada funo do corpo
cercada por seu meio, o
qual importante no s
para seu funcionamento
como para sua
integridade. Em 1929,
Walter B. Cannon (1871-
1945) ampliou o conceito
de meio interior com a
noo de homeostasia
(grego
homeos=semelhante e
statis=situao. Cada
parte do organismo
funciona normalmente em
um estado de equilbrio.
A homeostase um
equilbrio dinmico
obtido atravs da auto-
regulao ou seja atravs
do auto-controle. a
capacidade que tem o
sistema de manter certas
variveis dentro de
limites, mesmo quando os
estmulos do meio
externo foram estas
variveis a assumirem
valores que ultrapassam
os limites da normalidade.
Os seres humanos vivem
atravs de um processo
contnuo de desintegrao
(entropia) e de
reconstituio dentro do
ambiente (homeostase).
Se o equilbrio
homeosttico no resistir
quele fluxo de
desintegrao e
corrupo, o ser humano
comear a se desintegrar,
mais do que pode se
reconstruir, e assim,
morrer.
15. J ohn von Neumann
foi um dos matemticos
mais notveis de nossos
tempos. Como tantos
outros matemticos ele
prestou contribuies
importantes tanto
cincia quanto
matemtica. Von
Neumann se sentia
particularmente fascinado
pelos jogos de estratgia e
de acaso. Assim, no de
se surpreender, que fosse
ele uma das pessoas que
abrisse o novo campo da
matemtica chamado
teoria dos jogos.
Empregando as
probabilidades envolvidas
em um jogo de acaso e
trabalhando com
estratgias que produzem
vencedores emjogos de
Fig.05 Comeo da explicao de auto-reproduo, Theory and Organization of Complicated
Automata, John Von Neumann (Fonte: http://www.walenz.org/vonNeumann/).
Fig.06 The universal constructor, Theory and Organization of Complicated Automata, John Von
Neumann (Fonte: http://www.walenz.org/vonNeumann/).
Fig.07 Self-reproduction, Theory and Organization of Complicated Automata, John Von Neumann
(Fonte: http://www.walenz.org/vonNeumann/).
Proposta de Sistema Anti-Invaso 8
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
tomar decises, a teoria
dos jogos de Von
Neumann pode solucionar
problemas de economia,
de cincia e de estratgia
militar. Von Neumann
nasceu emBudapeste, na
Hungria. Aos seis anos
era capaz de resolver
mentalmente problemas
de diviso como
78.463.215 49.673.235.
Por volta dos oito anos,
obteve seu diploma de
clculo na faculdade e
como brincadeira podia
memorizar, apenas
olhando, os nomes, os
endereos e nmeros de
telefone de uma coluna
em uma lista telefnica.
Com apenas 23 anos
escreveu um livro
chamado Os fundamentos
matemticos da mecnica
quntica, utilizado no
desenvolvimento da
energia atmica.
16. Empresa voltada para
pesquisas e estudos para
tecnologia das
comunicaes
17. Portal sobre segurana
da informao
18. Empresa
mundialmente conhecida
pelos seus produtos de
software, sendo umdeles
o Sistema Operacional
Windows.
19. Local Security
Authority Subsystem
Service, controla vrias
tarefas de segurana do
Windows, incluindo o
acesso ao sistema.
20. Vrus de computador
descoberto emAgosto de
2003 que se utiliza de
uma falha no protocolo
Remote Procedure
Call(RPC).
21. Compilador
desenvolvido pela
Microsoft Corporation.
22. Portas identificam
servios que rodam em
servidores. Um servidor
pode conter diversos
Fig.08 Self-reproduction of a universal computer-constructor, Theory and Organization of
Complicated Automata, John Von Neumann (Fonte: http://www.walenz.org/vonNeumann/).
Na dcada de 60 surgiriam os primeiros antecessores dos vrus atuais. Nesta dcada,
H. Douglas McIlroy, Victor Vysottsky, e Robert Morris, programadores da Bell
Laboratories
16
, desenvolveram um jogo chamado "Core Wars", que era capaz de se reproduzir
toda vez que era executado, sobrecarregando assim a memria do equipamento de outro
jogador. Nessa mesma poca, os criadores deste peculiar jogo tambm foram responsveis pela
criao do primeiro antivrus, um aplicativo chamado "Reeper", que era capaz de destruir
cpias criadas pelo "Core Wars".
Fig.09 Core Wars Screen Shot (Fonte: http://mark0.ngi.it/corewars/xrk/XRC-Running.png).
Depois de mais de 50 anos da teoria original de Neumann as ameaas evoluram
consideravelmente. A empresa antivrus Sophos divulgou em seu relatrio mensal que o
Netsky foi o vrus mais ativo de abril. Sete verses diferentes do vrus foram responsveis por
69% das ocorrncias de cdigos malficos relatadas empresa durante o ms de Abril de 2004.
No ms de Maro, outras variantes do Netsky tambm ocuparam os primeiros lugares no
ranking das 10 pragas mais ativas.
Proposta de Sistema Anti-Invaso 9
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
servios instalados, ou
seja, o mesmo
computador pode ser um
servidor de correio
eletrnico, servidor FTP e
servidor Web (WWW). O
servidor identificado
por umendereo IP, mas
os servios tambm
precisamser identificados
individualmente. Para
cada servio associada
uma porta: umnmero de
identificao entre 0 e
65535. Os servios
padronizados recebem
nmeros (portas)
padronizadas. So as
chamadas portas
conhecidas ou well-known
ports. Esses nmeros so
definidos pelo
IANA(Internet Assigned
Numbers Authority) e
esto na faixa de 1 a
1024, Essa padronizao
permite aos clientes
conectarem-se a servios,
uma vez que eles j
sabem em que porta
encontr-lo. Por exemplo,
um servidor Web
normalmente aguarda
requisies dos browsers
na porta 80. O browser ir
se conectar ao servidor
Web atravs dessa porta
do servidor. O
computador cliente
tambm utilizar uma
porta, pois o servidor
Web ter que enviar as
pginas solicitadas por
essa porta. O sistema
operacional do cliente
determinar,
dinamicamente, um
nmero maior que 1024
para a porta do cliente.
Essas portas tambmso
conhecidas como portas
alocadas dinamicamente.
23. Sigla que significa
Transmission Control
Protocol, ou Protocolo
de Controle de
Transmisso. O protocolo
TCP um servio de
entrega de pacotes que
garante a entrega e a
integridade e funciona
baseado na conexo
lgica entre dois
computadores. Nesse tipo
de conexo, ambas as
partes entram emacordo
sobre a forma de trocarem
informaes. Quando
uma informao
transmitida, mecanismos
de verificao de erros e
controle de fluxo
garantem que a
informao seja recebida
sem erros. O TCP
utilizado na transmisso
A verso mais relatada foi o Netsky.P, com 23% dos ataques, seguida pelo Netsky.B,
com 20%. A variante D aparece em terceiro, com 17% dos incidentes. Aparecem ainda na lista
dos dez piores vrus o Sober.F, o Bagle.Zip e o Gibe.F. A Sophos identificou 740 novos vrus
em Abril.
"Durante todo o ms de abril, diversas variantes do vrus Netsky continuaram a
causar srios problemas aos usurios de computadores desprotegidos. Uma vez que o autor
do Netsky original afirma ter aberto o cdigo malicioso, possvel que outros gatunos tenham
se aproveitado para enviar novas variantes do Netsky", afirmou a consultora de segurana da
Sophos, Carole Theriault.
Fig.10 Top 10 Vrus de Abril de 2004. (Fonte: InfoGuerra).
Para exemplificar a inovao tecnolgica, inteligncia e poder de propagao das
novas ameaas virtuais, utilizaremos para anlise o worm Sasser, originalmente batizado de
W32/Sasser.A. Conforme notcia divulgada atravs do portal InfoGuerra
17
no dia
01/05/2004, foi anunciada a descoberta do primeiro worm projetado exclusivamente para se
aproveitar de falhas em componentes do Windows, divulgadas (e corrigidas) no mais recente
boletim de segurana da Microsoft
18
, o MS04-011, um dos mais crticos dos ltimos meses. O
cdigo do worm distribui-se automaticamente em redes de computadores aproveitando-se de
uma falha no servio LSASS
19
.
O worm Sasser tem vrias semelhanas com o Blaster
20
, surgido em agosto do ano
passado. O aparecimento de ambos era esperado aps a divulgao de falhas no Windows.
Assim como o Blaster, o Sasser afeta Windows 2000 e XP e pode travar ou reiniciar os
sistemas com um aviso na tela. Uma cpia destes avisos disponibilizada no site da empresa
antivrus F-Secure mostrada abaixo:
Proposta de Sistema Anti-Invaso 10
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
de dados crticos, onde
nenhumerro aceitvel.
Muitos programas e
protocolos de rede tais
como HTTP e FTP
utilizamo TCP. Antes de
transmitir os dados, o
protocolo TCP estabelece
uma conexo entre os
computadores, num
processo chamado three-
way handshake
(apresentao de trs
vias). Ao final da
transmisso, a conexo
fechada atravs do
mesmo processo. Para
transmitir os dados, o
pacote TCP dividido em
segmentos que chegaram
fora de ordem ou
solicitando o reenvio de
segmentos que no foram
recebidos. Cada segmento
verificado, atravs de
um checksum, para
garantir que no tenha
sido corrompido na
transmisso por erros ou
interferncias no meio
fsico.
24. Sigla que significa
File Transfer Protocol,
ou Protocolo de
Transferncia de
Arquivos. O protocolo
FTP permite a
transferncia de arquivos
entre um computador
local e um servidor
remoto, sendo bastante
utilizado para upload e
download de arquivos de
sites na Internet. A
implementao da
aplicao FTP baseada
na arquitetura Cliente-
Servidor. necessria a
existncia de umservidor
FTP no computador
remoto e de umcliente no
computador local. O
servidor FTP aguarda
conexes de clientes na
porta 21 e o cliente utiliza
qualquer nmero de porta
local. O protocolo FTP
permite a navegao em
uma parte da estrutura de
diretrios do servidor
remoto para a localizao
do arquivo desejado. No
incio da conexo como
servidor remoto
solicitada a digitao de
um nome de usurio e
uma senha, que sero
utilizados para valid-lo e
determinar seus direitos
de acesso. No caso da
Internet, alguns sites
possuem arquivos ou
diretrios confidenciais,
que somente podem ser
acessados por usurios
autorizados. Entretanto
Fig.11 Mensagem produzida sob Windows 2000.
Fig.12 Mensagem produzida sob Windows XP.
Sasser um cdigo escrito em Visual C++
21
que se envia por redes usando trs
portas
22
TCP
23
no processo: 445, 9996 e 5554. Pela porta 445, o worm varre a rede, a partir
de uma mquina infectada, em busca de outras mquinas cuja vulnerabilidade do servio
LSASS no tenha sido corrigida. nesta fase que os sistemas vulnerveis, ao serem atingidos,
podem travar e desligar.
Se o ataque for bem-sucedido, o worm inicia uma shell (tela de acesso) na porta
9996, atravs da qual o sistema instrudo a fazer uma conexo FTP
24
para baixar e executar o
cdigo final do worm. Este servidor FTP fica disponvel na porta 5554 em todas as mquinas
infectadas e usado pra distribuir o cdigo malfico para outras mquinas que esto sendo
contaminadas. Toda a atividade do servidor FTP guardada no arquivo C:\win.log, que serve
como indcio de que um sistema foi infectado pelo worm.
Ao se instalar no sistema, o Sasser cria uma cpia de si mesmo no diretrio do
Windows, com o nome "avserve.exe". Este mesmo nome adicionado seguinte chave do
Registro
25
:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Proposta de Sistema Anti-Invaso 11
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
muitos servidores FTP
esto disponveis para uso
pblico.
25. Registry ou Registro.
Local onde so
armazenadas informaes
essenciais para o
funcionamento do
Sistema Operacional
Windows e outros
aplicativos. Muitos vrus
e outras ameaas utilizam
o registry para serem
iniciados
automaticamente junto
como SO Windows.
26. Mutex a sigla de
mutual exclusion object e
se refere a umprograma
que serve para controlar o
acesso a recursos do
sistema e evitar que mais
de umprocesso utilize o
mesmo recurso ao mesmo
tempo.
27. Empresa voltada para
segurana da informao.
28. Empresa voltada para
segurana da informao.
29. Empresa voltada para
segurana da informao.
30. Internet Protocol,
ou Protocolo Internet. O
protocolo responsvel
pelo roteamento e entrega
dos pacotes de
informao o protocolo
IP, portanto o endereo
utilizado neste processo
designado endereo IP. O
endereo IP deve conter a
identificao da rede ao
qual o host pertence
(endereo de rede) e o seu
endereo dentro dessa
rede (endereo de host).
O endereo de um host
numa rede TCP/IP
composto de 4 bytes(32
bits). A representao de
umendereo IP pode ser:
172.21.5.2. O IP foi
introduzido em1978 e foi
padronizado em1981. O
protocolo IP no confirma
a recepo dos dados pelo
computador de destino
nemretransmite os dados
emcaso de erro, pois esse
controle feito pelo
O worm tambm cria um mutex
26
com nome de "J obaka3l".
Para se proteger, usurios de Windows devem atualizar seus sistemas no site
Windows Update.
Apesar do Sasser ser considerado o primeiro worm criado especificamente para
explorar as falhas do Windows divulgadas recentemente, outros tipos de malware j vinham
se aproveitando das mesmas falhas.
No dia 03/05/2004 foi identificado que o Sasser possua duas novas verses. A verso
B considerada de alto risco e j se encontra em larga distribuio, de acordo com a Trend
Micro
27
. A Symantec
28
, que inicialmente havia classificado o Sasser.B como de risco 3,
elevou esse risco para 4, numa escala que vai at 5.
Assim como a primeira verso, o Sasser.B vasculha redes em busca de sistemas
Windows cujas falhas no tenham sido corrigidas. No processo de disseminao do worm so
usadas as portas TCP 445, 9996 e 5554.
Fig.13 Threat Metrics para Sasser.B (Fonte: Symantec Security Response).
A diferena em relao verso original est nos nomes dos arquivos descarregados
pelo Sasser.B -- win2.log e avserve2.exe, em vez de win.log e avserve.exe -- e o fato de que o
worm abre 128 processos em vez de 128 segmentos ("threads" ou "subprocessos"). O
resultado que, se um processo "travar", no afetar os outros. No caso de segmentos, quando
um trava todos os outros tambm podem ser afetados. A abordagem presente na verso B
consome mais memria do computador. J a principal diferena entre as verses B e C que a
ltima abre 1024 processos, aumentando seu potencial ofensivo.
O Sasser possui muitas semelhanas com o Blaster, surgido em agosto de 2003, mas
parece ultrapassar seu antecessor em tudo. Apenas 24 horas aps ter sido identificado pela
Panda
29
, o Sasser j era encontrado em 3% dos computadores analisados pelo antivrus da
empresa, contra 2,5% do Blaster no mesmo perodo de tempo. Ambos surgiram poucos dias
aps a divulgao de falhas de segurana pela Microsoft: 26 dias, no caso do Blaster, 18 dias
no do Sasser. Alm disso, as caractersticas tcnicas tambm so semelhantes: afetam os
sistemas Windows 2000 e XP reproduzindo-se automaticamente atravs de redes, varrem
endereos IP
30
aleatrios para identificar alvos potenciais e utilizam o protocolo FTP para
efetivamente infectarem a vtima. Os dois causam o reincio de mquinas atacadas que no
Proposta de Sistema Anti-Invaso 12
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
protocolo TCP. O nico
controle realizado pelo IP
a eliminao de pacotes
que passem por um
nmero de roteadores
maior que o especificado
no campo TTL(Time to
Live). Isso evita que
pacotes comproblema de
roteamento circulempela
rede indefinidamente,
gerando trfego
excessivo. A verso atual
do IP a verso 4 (IPv4),
que no alterada nem
atualizada desde os anos
70. Aps tanto tempo
natural que apresente
alguns problemas em
funo dos progressos
ocorridos na informtica.
31. Empresa responsvel
por notcias e
informaes financeiras.
32. J ornal australiano.
33. J ornal australiano.
34. J ornal australiano.
35. Site de notcias
americano.
36. Empresa de transporte
areo.
possuem as correes instaladas.
Rumores j apontam o Sasser como causador de grandes problemas em redes
bancrias e de transporte areo e ferrovirio em todo o mundo. A Bloomberg
31
informa que o
banco Goldman & Sachs de Hong Kong foi infectado pelo worm e passa por dificuldades em
sua rede. O Herald Sun
32
afirma que o terceiro maior banco finlands tambm foi afetado e
fechou suas 130 agncias para evitar problemas mais graves. Outras duas notcias citam apenas
"problemas com computadores" neste fim de semana, mas especula-se que a origem destes seja
o Sasser.
O Daily Telegraph
33
, reproduzido pela News Interactive
34
, afirma que atrasos nos
trens de Sidney, Austrlia, que atingiram 300 mil passageiros, podem ter sido causados pelo
Sasser. Notcia da Associated Press (AP) divulgada pelo News 24 Hours Houston
35
afirma
que a Delta Airlines
36
cancelou 40 vos e atrasou outros 32 em Atlanta, por problemas em
seus computadores.
A Microsoft chegou a criar uma pgina de informaes exclusivamente sobre o
Sasser. Na pgina "O que voc deve saber sobre o worm Sasser e suas variaes" (em
ingls), a empresa mantm uma ferramenta para identificar mquinas contaminadas e remover
o worm, alm de fornecer informaes sobre como corrigir e contornar a brecha de segurana
que permite a ao do Sasser e links para as principais empresas antivrus. A Panda estima
que a incrvel quantidade de 300 milhes de computadores estejam vulnerveis em todo o
mundo, e a taxa de infeco deve crescer.
Empresas de antivrus divulgaram texto dos programadores do Netsky, encontrado
em meio ao cdigo da 29 verso do worm, a AC, que afirma serem eles os criadores do
Sasser. A mensagem diz, em ingls:
- "Ei, empresas av, vocs sabem que ns que programamos o vrus sasser?
, verdade! Por que vocs o chamaram de sasser?
Uma Dica: Comparem o cdigo do servidor FTP com o do Skynet-V!!!
LooL [gargalhadas]! Ns somos o Skynet..."
Priso
Segundo informaes disponibilizadas pelo portal InfoGuerra, um alemo de 18
anos preso no ltimo fim de semana (08-09/05/2004), confessou ser o autor no s do Sasser,
como se suspeitava desde o incio, mas tambm de todas as verses do Netsky. De acordo com
as autoridades que o interrogaram, o jovem Sven Jaschan deu detalhes sobre os vrus e sua
disseminao.
Ele afirmou que a inteno era criar o Netsky-A para combater o Mydoom e o Bagle,
apagando esses vrus dos computadores infectados. Na tentativa, surgiu o Sasser. No
computador do acusado foi encontrado o cdigo-fonte do Sasser, ponto determinante na
investigao por sabotagem de computadores que o adolescente enfrentar. A pena para o
crime pode chegar a cinco anos de priso. Ele responde ao processo em liberdade e dever
sofrer uma punio abrandada, j que cometeu os crimes quando ainda tinha 17 anos. Vtimas
Proposta de Sistema Anti-Invaso 13
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
dos vrus ainda podem tentar obter indenizaes por danos.
Segundo a agncia Reuters, Jaschan podia estar tentando ajudar sua me,
proprietria de uma pequena empresa de manuteno de computadores, a "PC Help",
localizada na cidade de 920 habitantes onde vivem. A hiptese foi levantada pela revista Der
Spiegel e no foi descartada pelos promotores responsveis pelo caso. O pai e a madrasta de
Jaschan afirmam que ele tentava apenas encontrar um antdoto e no tinha inteno de causar
danos.
A Microsoft afirma ter recebido informaes sobre o autor do vrus na quarta-feira. O
trabalho de localizao da origem do vrus contou com a ajuda do FBI, do servio secreto
norte-americano e da polcia alem. O advogado da empresa disse que os informantes
conheciam o jovem e no o descobriram pela anlise tcnica do vrus. Eles devem receber US$
250.000,00 pelas informaes.
O simples fato de estar online, ou conectado, s redes de computadores um
potencial risco para a segurana dos sistemas. Infinidades de tipos de dispositivos, protocolos e
aplicaes, compartilhando de um mesmo meio levam tona inmeras vulnerabilidades, tanto
de software quanto de hardware, portanto, investimentos em segurana so necessrios
atualmente para manter a estabilidade da informao corporativa ou de usurios domsticos.
Proposta de Sistema Anti-Invaso 14
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
3 3. . P Pr ro op po os st ta a d de e S Si is st te em ma a A An nt ti i- -I In nv va as s o o
37. O termo feedback
traduzido como retroao,
realimentao, retroalimentao
e tambm como
servomecanismo um
mecanismo que serve para
regular o funcionamento de um
sistema atravs da comparao
entre os resultados alcanados
em relao ao padro de
resultados pr-estabelecidos. A
retroao permite que o sistema
seja controlado (regulado) para
que as sadas reais sejamiguais
(ou o mais prximo possvel) as
que foram planejadas. Para o
funcionamento da retroao,
uma parte da sada do sistema
geralmente informao
utilizada para comparao como
que foi planejado, esperado,
chamado de especificao,
padro pr-determinado, etc.
muito comum que este padro
tenha uma faixa de tolerncia,
dentro da qual o resultado seja
considerado aceitvel.
38. Sigla que significa User
Datagram Protocol. O
protocolo UDP umservio de
entrega de datagramas sem
conexo e, portanto, no garante
a entrega nema integridade das
informaes. O computador de
origemenvia o datagrama e no
pede confirmao do
recebimento ao computador de
destino. Ao contrrio do TCP, o
UDP: no se preocupa com a
perda de mensagens; no
retransmite datagramas faltantes;
no ordena datagramas recebidos
fora de ordem; no elimina
datagramas duplicados; no
reconhece o recebimento de
datagrmas; no estabelece ou
encerra conexes. O protocolo
UDP portanto umservio no
confivel, pois suscetvel
perda de informao. As rotinas
de verificao de erros do UDP
so mais simples do que o
sofisticado controle de erros do
protocolo TCP, o que torna o
UDP mais rpido que o TCP.
Por essa razo o UDP
geralmente utilizado na
transmisso de sinais onde a
velocidade de transmisso
mais importante que a
confiabilidade dos dados, como
sinais de voz e vdeo. Nesses
casos, mesmo que uma
quantidade de informao
pequena seja perdida, a
mensagem ainda continua
inteligvel. Num mecanismo de
transmisso sem conexo, o
receptor no sabe a prioridade
que lhe ser enviada uma
mensagem. Se uma mensagem
for perdida durante a
transmisso, o receptor no
saber que deixou de receber
O estudo para um sistema anti-invaso foi voltado para as ameaas do tipo
backdoor/trojan horse (porta dos fundos/cavalo-de-tria), porm, algumas protees aqui
discutidas podem abranger tambm vrus, que incorporem certas funcionalidades.
A proposta apresentada no almeja ser uma nica soluo, ou uma soluo
definitiva para o tema segurana da informao digital, nem to pouco ser comparada
um sistema firewall ou sistema antivrus.
A abordagem utilizada supe a existncia de duas entidades externas que quando
utilizadas em conjunto pelo hacker, causam uma invaso computacional. Estas entidades
externas so respectivamente: um programa servidor (tratado no decorrer como ps) e
um programa cliente(tratado no decorrer como pc). No mundo real, para exemplificar, o
ps atua como um porteiro que permite a entrada de assaltantes, sendo considerado como
um comparsa ou ajudante do invasor, enquanto que o assaltante pode ser considerado
como o pc, ou seja, quem toma as decises do que fazer, ou quais elementos e pertences,
do ambiente ao qual se encontra, ele ir roubar / destruir / eliminar. assumida tambm a
existncia de uma entidade externa de nome Usurio, que ser efetivamente a pessoa
que operar o sistema e estar fornecendo informaes e recebendo feedback
37
.
O ps pode ser tambm um vrus que tenha a funcionalidade de servidor. Como
no exemplo do mundo real, no mundo digital o ps est infiltrado no ambiente do usurio
que ser invadido. Este programa pode se infiltrar em um ambiente computacional como
um anexo de e-mail, anexo de comunicador instantneo ou mesmo se escondendo
embutido dentro de outros arquivos. O pc fica localizado no computador do hacker,
sendo que este o utiliza para se conectar ao ps. Se o ps no estiver em execuo, o pc no
consegue se conectar, no havendo possibilidade de invaso. Sem o ps o pc no funciona
e este um ponto importante da anlise. Sem o pc o invasor tambm no consegue se
conectar ao ps, porm, uma conexo a um ps pode ocorrer, mesmo que o hacker utilize
outro pc que no o correto, mas de nada esta conexo vai adiantar pelo simples fato deste
novo pc no conhecer o protocolo de comunicao do ps ao qual est conectado. O
protocolo de comunicao entre o ps e o pc muito importante pois atravs dele que
feita a comunicao e troca de informao (execuo de comandos arbitrrios, download
de arquivos, etc).
O ps, quando iniciado, executa uma srie de procedimentos em seu processo de
infeco, alguns possveis procedimentos so listados abaixo, no necessariamente
ocorrem na ordem apresentada:
1. - Se renomeia, para dificultar a deteco, geralmente este novo nome
randmico;
2. - Cria uma cpia de si mesmo, em algum diretrio existente ou mesmo
cria outros diretrios;
3. - Grava-se no registro do Windows ou em arquivos de inicializao para
ser iniciado automaticamente com o Sistema Operacional;
4. - Abre uma porta, geralmente TCP, e fica pronto para receber conexes;
Proposta de Sistema Anti-Invaso 15
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
aquela mensagem. O emissor,
por sua vez, no se preocupa em
verificar se a mensagemenviada
foi realmente recebida.
Exemplos de aplicaes que
utilizam o UDP: Network File
System (NFS), Simple Network
Management Protocol (SNMP).
39. Estado do protocolo TCP
para determinada porta,
significando que a porta est
aberta, aguardando solicitaes
de conexes. Os possveis
estados so: closed, listen,
syn_rcvd, syn_sent, established,
close_wait, fin_wait_1, closing,
fin_wait_2, time_wait e
last_ack.
5. - Avisa o(s) atacante(s) que a mquina est infectada;
6. - Coleta os endereos de e-mail salvos na mquina e se envia para estes
endereos.
Aps analisados as aes efetuados pelas ameaas digitais atualmente, o sistema
anti-invaso proposto teria as seguintes funcionalidades:
1. Monitorar o Registro(Registry) do Windows;
O monitor do registro deveria permitir a incluso, edio e excluso de chaves
(keys) para monitoramento. O monitor deveria permitir que o usurio fosse avisado de
alteraes ocorridas nas chaves em monitoramento. O usurio deveria poder cadastrar
uma regra de ao para cada chave em monitoramento. A regra de ao seria acionada no
momento em que uma modificao ocorresse em alguma chave monitorada do registro, i.
e., seria uma ao, ou providncia, tomada em decorrncia de modificaes.
Algumas regras de ao poderiam ser: 0-Nenhuma regra, onde nenhuma regra
seria aplicada quando houvesse alguma modificao na chave monitorada; 1-Apagar
novos valores, onde novos valores seriam apagados da chave monitorada no momento
em que fossem criados; 2-Apagar novos valores e arquivos associados, onde novos
valores seriam apagados da chave monitorada no momento em que fossem criados e,
tambm, se houverem arquivos associados a estas novas entradas, estes arquivos tambm
seriam apagados de seus diretrios de origem; 3-Apagar novos valores e mover
arquivos associados para a pasta de quarentena, onde novos valores seriam apagados
da chave monitorada no momento em que fossem criados e, tambm, se houverem
arquivos associados a estas novas entradas, estes arquivos seriam movidos para a pasta de
quarentena; 4-Apenas mover arquivos associados para a pasta de quarentena, onde
arquivos associados a novas entradas seriam movidos para a pasta de quarentena. Para
toda ocorrncia de modificao nas chaves monitoradas, o monitor do registro deveria ser
capaz de gravar um log, para posterior anlise ou providncias por parte do usurio. O
monitor do registro deveria ter uma opo de modo interativo, i.e., conforme ocorressem
modificaes em uma chave, o monitor do registro poderia exibir uma tela de aviso das
modificaes ocorridas e aes tomadas, ou apenas aplicar a regra mas sem exibir uma
tela de aviso das modificaes.
2. Monitorar Portas de Conexo;
O monitor de portas deveria ter a capacidade de monitorar as portas do
protocolo TCP e do protocolo UDP
38
. Para tanto, o monitor de portas deveria ter a
funcionalidade de incluir uma porta a monitorar, editar uma porta monitorada, e, excluir
uma porta do monitoramento. No momento da incluso de uma porta ser monitorada, o
usurio teria que escolher o nmero da porta, que seria de 0 65535, tanto para TCP
quanto para UDP. O monitor de portas deveria ter a capacidade de cadastrar uma regra
de ao para cada porta adicionada ao monitor. Se a porta monitorada for TCP, devido
ao protocolo TCP ser orientado conexo, a regra de ao seria acionada no momento
em que uma tentativa de conexo fosse feita, i. e., seria uma ao, ou providncia, tomada
em decorrncia de tentativas de conexo. Se a porta monitorada for UDP, devido ao
protocolo UDP no ser orientado conexo, a regra de ao seria acionada no momento
em que fossem enviados dados para a porta, i. e., seria uma ao, ou providncia, tomada
em decorrncia de dados enviados para a porta monitorada.
Proposta de Sistema Anti-Invaso 16
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
Algumas regras de ao para portas TCP seriam: 0-Bloquear acesso, onde o
acesso porta seria bloqueado, tanto internamente, quanto externamente, i. e., um
programa servidor (ps) que queira abrir esta porta, colocando-a em modo listenning
39
para permitir que outros hosts tenham acesso esta porta, no teria sucesso, e, tambm,
programas cliente (pc) que tentem conectar-se porta no obtero sucesso; 1-Bloquear
acesso mas enviar mensagem, onde o acesso porta seria bloqueado, tanto
internamente, quanto externamente, mas quando o pc tentar se conectar a porta, antes de
ser derrubado, o monitor de portas ir lhe enviar uma mensagem. Esta mensagem poderia
ser algo do tipo: Esta conexo no foi permitida e est sendo encerrada. Seu acesso foi
negado aos recursos deste computador. As informaes desta tentativa de conexo foram
gravadas por motivos de segurana, ou alguma frase escolhida pelo usurio; 2-
Bloquear acesso mas permitir interao com o protocolo do invasor, onde o acesso
porta seria bloqueado, tanto internamente, quanto externamente, mas no momento da
tentativa de conexo, uma tela de log da conexo apareceria, e iria mostrar os comandos
que fossem enviados por parte do pc, mas tambm permitiria que o usurio enviasse
comandos(strings) ao pc invasor.
Algumas regras de ao para portas UDP seriam: 0-Bloquear acesso, onde o
acesso porta seria bloqueado, tanto internamente, quanto externamente; 1-Bloquear
acesso mas enviar mensagem, onde o acesso porta seria bloqueado, tanto
internamente, quanto externamente, mas quando o pc enviar dados a porta, o monitor de
portas ir lhe enviar uma mensagem; 2-Bloquear acesso mas permitir interao com o
protocolo do invasor, onde o acesso porta seria bloqueado, tanto internamente, quanto
externamente, mas no momento em que fossem enviados dados porta, uma tela de
registro da conexo apareceria, e iria mostrar os comandos que fossem enviados por parte
do pc, mas tambm permitiria que o usurio enviasse comandos(strings) ao pc invasor. O
monitor de portas deveria ter a opo de modo interativo, i. e., conforme ocorressem
tentativas de conexo no caso do TCP e envio de dados no caso do UDP, o monitor de
portas poderia ou no exibir uma tela com as ocorrncias. O monitor de portas deveria
registras log de todas as ocorrncias relacionadas s portas monitoradas, para posterior
anlise e providncias por parte do usurio.
3. Monitorar arquivos de inicializao do sistema operacional;
O monitor de arquivos de inicializao deveria permitir a incluso, edio e
excluso de arquivos com contedo textual de qualquer extenso ao monitoramento. Se
houverem modificaes nestes arquivos o monitor de arquivos deveria apresentar uma
tela exibindo as modificaes ocorridas (o arquivo antigo e o arquivo modificado), para
que o usurio possa fazer comparaes e identificar as modificaes. O monitor de
arquivos deveria manter uma cpia dos arquivos que esto em monitoramento por
motivos de segurana, caso algum problema ocorra com eles. O monitor de arquivos
deveria fornecer a possibilidade de se cadastrar regras de ao para cada arquivo includo
ao monitoramento. Algumas regras de ao poderiam ser: 0-Nenhuma regra, onde
nenhuma regra de ao seria aplicada ao arquivo, as modificaes apenas seriam exibidas
e / ou registradas; 1-Restaurar arquivo, onde as modificaes seriam exibidas e / ou
registradas, mas o arquivo seria restaurado com os dados antes da modificao; 2-
Restaurar arquivo antigo, movendo novo arquivo para quarentena, onde as
modificaes seriam exibidas e / ou registradas, mas o arquivo seria restaurado com os
dados antes da modificao, porm, uma cpia do arquivo modificado seria guardada na
pasta de quarentena, para posterior anlise por parte do usurio. O monitor de arquivos
deveria registrar log de todas as ocorrncias relacionadas aos arquivos monitorados, para
posterior anlise e providncias por parte do usurio.
Proposta de Sistema Anti-Invaso 17
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
4. Visualizador de janelas ativas;
A inteno do visualizador de janelas ativas seria exibir as janelas que esto
atualmente carregadas na memria, mesmo as escondidas. O visualizador deveria ter a
opo de mostrar(show) e esconder(hide) as janelas que esto atualmente carregadas na
memria. O visualizador de janelas deveria ter o recurso de gerar um relatrio com o
ttulo das janelas carregadas na memria.
4 4. . D Di ia ag gr ra am ma as s d de e F Fl lu ux xo o d de e D Da ad do os s
Proposta de Sistema Anti-Invaso 18
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
Proposta de Sistema Anti-Invaso 19
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
Proposta de Sistema Anti-Invaso 20
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
5 5. . C Co on nc cl lu us s o o
Todos precisam ter conscincia que os computadores quando interligados, so uma
porta aberta para o mundo, com a agravante de no se poder ver quem o est olhando.
Quem compartilha um universo to diversificado, deveria, independentemente de
qualquer coisa, prevenir-se contra surpresas desagradveis.
A comparao mrbida da Teoria Geral de Sistemas inevitvel. Se o equilbrio
homeosttico no resistir quele fluxo de desintegrao e corrupo, o ser humano
comear a se desintegrar, mais do que pode se reconstruir, e assim, morrer. Quando
uma nova vulnerabilidade descoberta e explorada, o equilbrio homeosttico quebrado
e a queda vertiginosa para a entropia (caos).
Todos morreremos um dia, uns mais cedo e outros mais tarde. Esta variao de
tempo de vida tem muitas influncias como: qualidade de vida, localizao de moradia,
alimentao saudvel, prtica de esportes, uso de drogas, acidentes, etc. Os sistemas
tambm iro parar de funcionar (crash), esta tambm sua tendncia natural, devido
influncias do meio em que se encontra, m utilizao do software (peopleware
desinformada ou anti-tica), m construo do software (componentes internos,
atualizaes de verses). Porm isto pode ser prevenido com o auxlio de sistemas
antivrus, sistemas firewall (anti-invaso), sistemas de backup, poltica de segurana, etc.
No haver nunca um sistema com falha zero, isto fato, pela prpria natureza
humana, no mundo real, que at onde conhecemos atualmente no existe ser humano
imortal, quanto pela natureza binria, no mundo digital. A segurana da informao
ponto chave para a estabilidade das empresas e continuidade de seus negcios, e desde os
primrdios, onde nem se pensava em computao j existia o dito que prevenir
melhor que remediar, portanto, a preveno contra ameaas digitais nunca demais,
mesmo quando se trata de usurios domsticos como grandes corporaes internacionais.
Proposta de Sistema Anti-Invaso 21
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
6 6. . L Li in nk ks s
M M d du ul lo o S Se ec cu ur ri it ty y
h ht tt tp p: :/ // /w ww ww w. .m mo od du ul lo o. .c co om m. .b br r
S Sy yH Hu un nt t C Co or rp p. .
h ht tt tp p: :/ // /w ww ww w. .s sy yh hu un nt t. .c co om m
S Sy ym ma an nt te ec c C Co or rp p. .
h ht tt tp p: :/ // /w ww ww w. .s sy ym ma an nt te ec c. .c co om m
W Wi in nd do ow ws s U Up pd da at te e
h ht tt tp p: :/ // /w wi in nd do ow ws su up pd da at te e. .m mi ic cr ro os so of ft t. .c co om m
I In nf fo oG Gu ue er rr ra a S Se eg gu ur ra an n a a e e P Pr ri iv va ac ci id da ad de e
h ht tt tp p: :/ // /w ww ww w. .i in nf fo og gu ue er rr ra a. .c co om m. .b br r
P Pa an nd da a S So of ft tw wa ar re e
h ht tt tp p: :/ // /w ww ww w. .p pa an nd da as so of ft tw wa ar re e. .c co om m
U Un ni ic ca am mp p S Se ec cu ur ri it ty y T Te ea am m
h ht tt tp p: :/ // /w ww ww w. .s se ec cu ur ri it ty y. .u un ni ic ca am mp p. .b br r
S Se ec cu ur ri it ty y F Fo oc cu us s
h ht tt tp p: :/ // /w ww ww w. .s se ec cu ur ri it ty yf fo oc cu us s. .c co om m
T Ta ak ke ed do ow wn n
h ht tt tp p: :/ // /w ww ww w. .t ta ak ke ed do ow wn n. .c co om m
S Se ec cu ur ri it ty y F Fo oc cu us s
L Li in nu ux x S Se ec cu ur ri it ty y
h ht tt tp p: :/ // /w ww ww w. .l li in nu ux xs se ec cu ur ri it ty y. .c co om m. .b br r
F F- -S Se ec cu ur re e
h ht tt tp p: :/ // /w ww ww w. .f f- -s se ec cu ur re e. .c co om m
S So op ph ho os s
h ht tt tp p: :/ // /w ww ww w. .l li in nu ux xs se ec cu ur ri it ty y. .c co om m. .b br r
S Se ec cu ur ri it ty y O Op pe en n S So ou ur rc ce e
h ht tt tp p: :/ // /w ww ww w. .s se ec cu ur ri it ty yo op pe en ns so ou ur rc ce e. .o or rg g. .b br r
H Ha ac ck ke er rs s T To o H Ha ac ck ke er rs s C Co on nf fe er re en nc ce e
h ht tt tp p: :/ // /w ww ww w. .h h2 2h hc c. .c co om m. .b br r
B BR R- -L Li in nu ux x
h ht tt tp p: :/ // /w ww ww w. .b br r- -l li in nu ux x. .c co om m. .b br r
S Se ec cF Fo or ru um m
h ht tt tp p: :/ // /w ww ww w. .s se ec cf fo or ru um m. .c co om m. .b br r
P PU UC C C Ca am mp pi in na as s
h ht tt tp p: :/ // /w ww ww w. .p pu uc c- -c ca am mp pi in na as s. .e ed du u. .b br r
T Th he e I Ic ce e- -E Ey ye es s P Pr ro oj je ec ct t S Se ec cu ur ri it ty y a ag ga ai in ns st t D Di ig gi it ta al l T Th hr re ea at ts s
h ht tt tp p: :/ // /i ic ce e- -e ey ye es s. .c cj jb b. .n ne et t
Proposta de Sistema Anti-Invaso 22
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
h ht tt tp p: :/ // /w ww ww w. .s se ec cu ur ri it ty yf fo oc cu us s. .c co om m
N Ne et t S Se ec cu ur ri it ty y
h ht tt tp p: :/ // /w ww ww w. .n ne et t- -s se ec cu ur ri it ty y. .o or rg g
I In ns se ec cu ur re e N Ne et t
h ht tt tp p: :/ // /w ww ww w. .i in ns se ec cu ur re en ne et t. .c co om m. .b br r
P Pa ac ck ke et t S St to or rm m S Se ec cu ur ri it ty y
h ht tt tp p: :/ // /p pa ac ck ke et ts st to or rm ms se ec cu ur ri it ty y. .o or rg g
N Ne et t S Se ec cu ur ri it ty y
h ht tt tp p: :/ // /w ww ww w. .n ne et t- -s se ec cu ur ri it ty y. .o or rg g
7 7. . B Bi ib bl li io og gr ra af fi ia a
[JOHN VON NEUMANN, 1949] Neumann, J ohn von. Theory and Organization of Complicated Automata.
Edited and completed by Arthur W. Burks in 1966. University of Illinois Press- Urbana and London., Illinois,
USA, 1966.
[G. B. BURN] Burn, G. B. - Por dentro do registro do Windows NT. So Paulo, SP. Editora Market Books do
Brasil Ltda., 1999.
[STEPHEN NORTHCUTT, 2000] Northcutt, Stephen. Como detectar invaso em rede um guia para
analistas. Editora Cincia Moderna Ltda., Rio de J aneiro, 2000.
[W. RICHARD STEVENS, 2000] Stevens, W. Richard - TCP/IP Illustrated: the protocols. Addison-Wesley
Publishing Company, 2000.
[LUCIANA PALMA E RUBENS PRATES, 2000] Palma, Luciana Prates, Rubens. - TCP/IP Guia de
Consulta Rpida. Novatec Editora, 2000.
[GUILHERME CESTAROLLI SELEGUIM E FELIPE BARBI, 2002] Seleguim, Guilherme Cestarolli
Barbi, Felipe. Perigos do Mundo Virtual. Trabalho acadmico sobre segurana computacional apresentado no
curso de Anlise de Sistemas Pontifcia Universidade Catlica de Campinas (PUCC), Campinas, Outubro / 2002.
Proposta de Sistema Anti-Invaso 23
Anlise de Sistemas PUC-Campinas Redes e Comunicao de Dados II
[GUILHERME CESTAROLLI SELEGUIM, 2002] Seleguim, Guilherme Cestarolli. - Cavalo de Tria
Anlise Histrica versus Anlise Computacional. Artigo sobre segurana computacional e cavalos de tria
publicado no portal Mdulo Security. Novembro / 2002.
[GUILHERME CESTAROLLI SELEGUIM, 2004] Seleguim, Guilherme Cestarolli. - Acesso Remoto.
Documento em portugus sobre cavalos de tria publicado no Portal Linux Security. Fevereiro / 2004.
[MDULO SECURITY, 2004] Portal Mdulo Security. http://www.modulo.com.br Acessado em:
21/05/2004.
[INFOGUERRA, 2004] Portal InfoGuerra Segurana e Privacidade. http://www.infoguerra.com.br Acessado
em: 21/05/2004.
[LINUXSECURITY, 2004] Portal Linux Security. http://www.linuxsecurity.com.br Acessado em: 21/05/2004.
Material disponvel em
www.projetoderedes.com.br