Escolar Documentos
Profissional Documentos
Cultura Documentos
Licena
Dar crdito ao autor original e a Revista Segurana Digital, citando o nome do autor
(quando disponvel) e endereo do projeto.
Voc no pode utilizar esta obra como fonte comercial. Este direito de total
exclusividade do titular responsvel por manter o site Segurana Digital.
|02
Editorial
" o mundo que foi colocado diante dos seus olhos para que voc
no visse a verdade" (Morpheus)
No filme Matrix, h uma cena onde o personagem Morpheus
confronta Neo com duas opes, representadas por plulas, uma azul
e outra vermelha, onde uma ter que ser escolhida. A primeira (azul),
o mundo online, que todos ns conhecemos e acessamos
diariamente ou vrias vezes por dia.
Embora a internet seja uma grande rede de computadores
interligados em escala mundial ela usada e alimentada por pessoas
e voc, caro leitor, certamente um internauta experiente que
domina com maestria a arte de navegar ou surfar online. Acessa
as redes sociais, envia emails, faz tudo aquilo que possvel.
Podemos ento chegar a concluso que voc conhece a internet,
certo?
O mundo online abastecido diariamente por informaes criadas
e compartilhadas por pessoas. So vdeos, fotos, documentos,
emails, textos cuja quantidade cresce de forma exponencial. J h
uma forte tendncia de analisar esses dados e cruzlos, para assim
obter ganhos usando essas informaes. o que chamamos de Big
Data.
Fazendo uma paralelo com a nossa vida real, existem muitas
aes que so realizadas fora dos holofotes por diversas razes, seja
por ser anti tico, perturbador, criminoso, nojento, ou simplesmente
porque tem que ser annimo. O ser humano possui particularidades
muito especficas e infelizmente eu gostaria de acreditar que todos
so bonzinhos, mas isso no verdade. No fundo, muitos tem as
suas perverses e precisam de alguma forma, satisfazlas e at
mesmo compartilhlas com aqueles que apreciam a mesma prtica.
H pessoas, talvez aquele seu vizinho, ou algum colega de
trabalho por mais simptico que seja, pode esconder um grande
segredo, ou alguma preferncia oculta. Por isso temas como
pedofilia, venda de armas, trfico de rgos, assassinatos de aluguel,
entre outros, certamente tem que ficar escondidos do grande pblico,
especialmente por grandes buscadores, como o Google. E tal como
no mundo real, tambm existe online, mas no possvel ter acesso
a essa informao da forma convencional. Para isso, existe a Deep
Web.
E l que toda a nossa natureza mostrada, tudo aquilo que
ruim, o que h de mais repugnante na humanidade. uma viagem
sem volta, com contedo perturbador para alguns. O acesso todo
criptografado por vrias camadas, sendo muito dficil encontrar as
pessoas. Assim, mais uma vez, o anonimato permite que voc faa e
diga muitas coisas que no faria no mundo real. A Deep Web o
verdadeiro submundo da internet. Ela a segunda opo, a plula
vermelha.
H ainda uma parte da DW que realmente possui contedo que
podemos chamar de bom. So vrios artigos acadmicos, de
muitas universidades de vrios lugares do mundo, que esto l,
simplesmente fora , escondidos, tais como tesouros que precisam ser
buscados. Portanto, a DeepWeb no 100% ruim. possvel sim,
achar timos materiais de estudo sobre muitos assuntos relevantes.
A Revista Segurana Digital embarca contigo nesse mundo
desconhecido para a maioria das pessoas que usam a internet
diariamente. Voc est preparado para conheclo? Qual plula voc
vai escolher?
Voc tem que ver por si mesmo (Morpheus)
|03
DIRETOR E DIAGRAMADOR
Fbio Jnio Lima Ferreira
fabiojanio@segurancadigital.info
EDITOR DE ARTE
Hlio Jos Santiago Ferreira
COLUNISTAS
Vanderson Diniz
vanderson.diniz.r@ieee.org
Maria Camila Lij
camila.lijo@ieee.org
Marcelo Portela Sousa
marcelo.portela@ieee.org
Deivison Pinheiro Franco
deivison.pfranco@gmail.com
Jos Lopes de Oliveira Jnior
jlojunior@gmail.com
Lucas Mazzer
lucasmazzer@yahoo.com.br
Carla Danielle Dias de Oliveira
carladaniellevzp@gmail.com
REVISO
Andressa Findeis
findeis.andressa@gmail.com
Mauro Jnior
maurompjunior@gmail.com
http://twitter.com/_SegDigital
www.facebook.com/segurancadigital
www.youtube.com/segurancadigital
www.segurancadigital.info
Dezembro 2013 segurancadigital.info
ndice
Artigo
Testes de Segurana em Redes sem Fio com o Uso
do Software Reaver
Redes De Sensores Sem Fio Parte 3
Parceiros
05
AbleSecurity
50
Brasport
52
HostDime
51
Clavis
53
eSafer
54
09
20
33
44
56 Notcias
Fique informado quanto ao que acontece
no mundo virtual.
|04
1 Introduo
Tecnologias sem fio abrangem diversas capacida
des orientadas para diferentes usos e necessidades.
Dispositivos de Rede Local sem Fio (WLAN Wire
less Local Area Network), permitem que os usurios
movam seus computadores portteis de um local para
o outro, sem a necessidade de fios e sem perder a co
nectividade de rede. Menos fiao significa uma mai
or flexibilidade, maior eficincia e reduo de custos
[1].
Redes locais sem fio so geralmente utilizadas co
mo extenses para as infraestruturas cabeadas exis
tentes e fornecem a interface entre clientes sem fio e
estaes rdiobase ou pontos de acesso. Adicional
mente, clientes sem fio podem se comunicar de um
modo independente. Organizaes e indstrias esto
constantemente trabalhando para melhorar a taxa de
dados, alcance e segurana em solues de rede sem
|05
2 Wi F i P r o t e c t e d S e t u p ( W P S )
Os produtos com certificao WiFi oferecem aos
usurios, no mnimo, duas solues para instalao:
Personal Identification Number (PIN), no qual o
usurio precisa digitar o PIN do adaptador WiFi pa
ra a interface Web do ponto de acesso (AP Access
Point) e o mtodo Push Button Configuration
(PBC), em que o usurio precisa apertar um boto,
real ou virtual, tanto no ponto de acesso quanto no
dispositivo cliente sem fio. O PBC no AP s fica ati
vo se a autenticao tiver sido bemsucedida ou em
um tempo limite aps dois minutos. O PIN pode ser
impresso na etiqueta do adaptador ou gerado por
software. Os pontos de acesso devem oferecer as du
as opes e o dispositivo cliente deve oferecer a ins
talao do PIN [6].
O WiFi Protected Setup (WPS) PIN suscetvel a
um ataque de fora bruta. A vulnerabilidade devese
a uma falha que permite determinar quando os pri
meiros dgitos do PIN de oito dgitos esto corretos.
Isto reduz efetivamente as possibilidades numricas
de 100.000.000 para cerca de 11.000. O oitavo dgito
do PIN utilizado como uma soma de verificao
(checksum) dos sete primeiros algarismos e no con
tribui para o espao disponvel do PIN. Com a redu
o significativa do espao numrico, um invasor
pode encontrar o cdigo em algumas horas [7].
Um invasor pode obter informaes corretas do
PIN a partir das respostas dos APs. Uma descrio
detalhada dessas mensagens e do funcionamento do
WPS pode ser obtida nos trabalhos de [6] e [8].
A metodologia de ataque consiste em observar as
respostas correspondentes s solicitaes feitas para
verificar, inicialmente, se a primeira metade do PIN
est correta. Aps um certo nmero de tentativas
malsucedidas, o roteador envia um pacote EAP
NACK (Extensible Authentication Protocol Negati
|06
3 Reaver
O nmero de possveis combinaes ou configu
raes para um conjunto de objetos para os quais h
interesse em encontrar um objeto particular chama
do de espao de pesquisa. Em segurana de compu
tadores, o tipo mais comum de espao de pesquisa
o conjunto de todas as chaves possveis usadas em
uma funo criptogrfica. Um espao de pesquisa
grande reduz a possibilidade de ataques de fora bru
ta. Portanto, algo que reduza o tamanho do espao de
pesquisa seria de extremo valor para um invasor [10].
O Reaver implementa um ataque de fora bruta
contra a falha de projeto existente no protocolo WPS,
onde muitas vezes possvel prever as sequncias
numricas que compem o cdigo PIN. A falha no
protocolo WPS e a consequente reduo de possibili
dades numricas, torna possvel recuperar a senha
entre 4 e 10 horas, aps um certo nmero de combi
naes do cdigo PIN. Isto porque, fornecendo o PIN
correto ao roteador, adquirese a chave PSK, sem
distino de sua complexidade. Portanto, neste tipo
de ataque indiferente se uma senha possui caracte
res alfanumricos ou apenas texto plano.
Metodologia para Ataque de Fora Bruta com
o Reaver
A fim de testar a eficincia do software, foram re
alizados testes com o sistema operacional BackTrack
5 R3, por conter o Reaver previamente instalado, as
sim como, outros softwares necessrios que antece
dem o processo de fora bruta. Os testes foram
realizados em redes wireless prconfiguradas com o
protocolo WPS habilitado.
O primeiro passo para iniciar o ataque colocar a
placa de rede em modo monitor (equivalente ao pro
miscue mode em redes cabeadas), aps certificarse
da disponibilidade de uma placa de rede sem fio e
que esta esteja habilitada. Para isso, utilizado o
software airmonng e os parmetros necessrios so:
4 Concluso
# reaver i mon0 b <BSSID> vv
v, verbose
vv para mais).
Referncias
[1] T. Karygiannis and L. Owens. Wireless Network Security 802.11, Bluetooth and Handheld Devices:
Special Publication. CreateSpace Independent Publishing Platform, 2002.
[2] C. T. R. Hager. Context Aware and Adaptive Security for Wireless Networks. Ph.D. thesis, Faculty of
the Virginia Polytechnic Institute and State University, Toronto, Canada, 2004.
[3] J. Edney and W. A. Arbaugh. Real 802.11 Security: WiFi Protected Access and 802.11i. AddisonWesley
Professional, 2003.
[4] Y. Zhou and D. Feng. SideChannel Attacks: Ten Years After Its Publication and the Impacts on
Cryptographic Module Security Testing. IACR Cryptology ePrint Archive, 2005.
|07
Vanderson Diniz
Graduado em Telemtica pelo Instituto Federal de Educao, Cincia e Tecnologia da Paraba (2013).
Atualmente estudante membro IEEE do Instituto Federal de Educao, Cincia e Tecnologia da Paraba.
Tem experincia na rea de Redes de Computadores, com nfase em Segurana em redes sem fio.
email: vanderson.diniz.r@ieee.org
Lattes: http://lattes.cnpq.br/7203555252153218
|08
Resumo
Tratase uma abordagem a respeito dos aspectos
de segurana em Redes de Sensores Sem Fio (RS
SFs). Apresenta componentes, conceitos e aspectos
operacionais para implementao de criptografia e
protocolos seguros para RSSFs. Mostra como os sen
sores operam, processam e transmitem informaes
baseados nos processos de tomadas de deciso, de
acordo com regies de processamento, e como esta
comunicao pode e deve ocorrer de modo seguro,
onde sero abordadas suas principais aplicaes, pro
tocolos, topologias, roteamento e gerncia, levando
em considerao estruturas, padres e precaues pa
ra a implantao das mesmas no que tange seguran
a em ambientes sem fio, especificamente para ns
sensores distribudos e dispostos em rede comunican
dose entre si..
Palavras Chave: Sensores, RSSF, Criptografia,
Protocolos, Segurana.
1 Introduo
A necessidade de conexo com outras redes torna
uma rede exposta e vulnervel a ataques e incidentes
de segurana. Para que uma rede sempre esteja dis
ponvel para seus usurios alguns requisitos devem
ser adotados. Em RSSFs os NS devem estar instala
|09
1.1 Precaues
Algumas precaues so indispensveis para que
seja possvel se considerar uma estrutura de comuni
cao de dados segura. De acordo com a aplicabilida
de e do ambiente proposto ao qual uma determinada
rede empregada, tornase necessrio saber os obje
tivos e requisitos que so considerados na escolha da
aplicao gerenciadora das informaes que se sero
trafegadas por seus ns, de maneira que no os so
brecarreguem, no caso aqui especificamente, os sen
sores, j que estes detm diversas limitaes, as quais
sero detalhadas logo mais adiante.
ARAJO (2004) diz que caso a maior necessida
de de uma determinada aplicao de RSSF seja a
confidencialidade, por exemplo, ela pode ser protegi
da apenas usandose a criptografia. Por outro lado,
caso a rede tenha como maior objetivo a ininterrup
o do servio (disponibilidade), podese utilizar a
tcnica de salto de frequncias para tentar suavizar
ataques do tipo negao de servio simples (DoS
Denial of Service) ou distribudos (DDoS Distribu
ted Denial of Service).
Ainda em ARAJO (2004) h a afirmao de que
a maioria dos requisitos de segurana podem ser al
canados atravs do uso da criptografia. Porm, no
basta apenas utilizar um algoritmo criptogrfico
qualquer, preciso escolher um algoritmo que, ao
mesmo tempo, atenda as necessidades de segurana
da aplicao e que utilize o mnimo de recursos de
processamento possvel. Desta forma, em redes de
sensores sem fio, no se utiliza criptografia de cha
vespblicas e at mesmo alguns algoritmos de crip
tografia de chaves simtricas, por eles terem um alto
custo computacional, (o que ser melhor abordado
mais adiante). Em algumas aplicaes crticas, como
no uso de sensores no monitoramento de gasodutos,
por exemplo, o uso de criptografia necessrio para
tornar a comunicao mais segura e, consequente
mente, diminuir a possibilidade de ataques.
1 . 2 Requisitos
Confidencialidade, integridade, disponibilidade e
autenticidade so vitais para qualquer tipo de rede de
comunicao de dados, pois garantem que um intruso
no obtenha as informaes, so alcanadas a partir
da criptografia que implementada em protocolos de
segurana, de tal forma que um invasor que roube as
informaes trocadas pelos NS no tenha condio
de compreendlas. Em RSSF chaves criptogrficas
ficam em poder dos NS. Quanto mais chaves cada n
|10
1.3 Limitaes
Algoritmos de criptografia para redes de sensores
exigem um compromisso entre a segurana provida
pelo algoritmo e a quantidade de energia que ele uti
liza. Isso altamente relevante j que necessrio
energia para criptografar, decriptografar, enviar e re
ceber dados, bem como para processar informaes,
verificar e validar assinaturas que trafegam pela rede.
Tudo isto implica em consumo de energia, e a quan
tidade desta armazenada num sensor, bem como o
uso da mesma sua principal limitao, j que con
sumo mnimo de energia e proteo so caractersti
cas fundamentais pra o melhor desempenho de
protocolos de roteamento envolvidos em aplicaes
de redes de sensores.
Para AKYILDIZ (2002) outro fator relevante o
comportamento durante o processo em que o sensor
fica em espera para economizar energia. Nesse mo
mento, os sensores podem perder o sincronismo ne
Dezembro 2013 segurancadigital.info
|11
|12
|13
|14
|15
|16
|17
2 . 1 1 P r o v i m e n t o d e S e g u r a n a e m E s t a
es Rdio Base
Em alguns casos as RSSFs, alm do sorvedouro,
podem fazer uso de um ponto de acesso, tambm
chamado de estao rdio base, para proverem a co
municao entre os ns.
Dezembro 2013 segurancadigital.info
ERB.
3 Consideraes Finais
|18
Poucos algoritmos de segurana foram desenvolvidos e implementados para esses tipos de redes, possibili
tando espao para muita pesquisa e desenvolvimento nessa rea. O que vem sendo observado que se deve
buscar uma soluo que consiga conciliar as limitaes de energia com o mximo de segurana possvel.
4 Bibliografia
AKYILDIZ, I., Su, W., Sankarasubramaniam, Y., and Cayirci, E. A Survey on Sensor Networks. IEEE
Communications Magazine, 2002.
ARAJO, Rodrigo Cavalcanti de. Um Estudo do Impacto do uso de Criptografia em Redes de Sensores
sem Fio (RSSFs). Universidade Federal de Pernambuco UFPE, 2004.
CAMPISTA, Miguel Elias M. & DUARTE, Otto Carlos Muniz B.. Segurana em Redes de Sensores Sem
Fio. Universidade Federal do Rio de Janeiro GTA/UFRJ 2003.
HEIDEMANN, J., et al.. Buiding Efficient Wireless Sensor Networks. In 18Th ACM Symposium on
Operating Systems Principles, 2001.
HU, Y. C., Perrig A., Johnson, D. B. Ariadne: A Secure OnDemand Routing Protocol for Ad Hoc
Networks. MobiCOM, 2002.
LAW, Y., et al. Assessing SecurityCritical EnergyEficcient Sensor Networks. 18th IFIP TC11 Int. Conf.
on Information Security. Security and Privacy in the Age of Uncertainty (SEC), 2002.
LIU, D. e Ning, P. Efficient Distribution of Key Chain Commitments for Broadcast Authentication in
Distributed Sensor Networks. 10th Annual Network and Distributed System Security Symposium p. 263
276, 2003.
MARTI, S., et al. Mitigating Routing Misbehavior in Mobile Ad Hoc Networks. 6th Annual Internatio
nal Conference on Mobile Computing and Networking, 2000.
MICHIARDI, M., e Molva, R. CORE: A COllaborative REputation Mechanism to Enforce Node Coope
ration in Mbile Ad Hoc Networks. In Communications and Multimedia Security Conference, 2002.
PERRIG, A., et al. SPINS: Security Protocols for Sensor Networks, In Seventh Annual ACM Internatio
nal Conference on Mobile Computing and Networks. Mobicom, 2001.
YI, S., Naldurg, P. e Kravets R. SecurityAware Ad
Hoc Routing for Wireless Networks, in Procee
dings of the 2001 ACM International Symposium
on Mobile Ad Hoc Networking and Computing.
ACM Press, 2001.
FERNANDES, Natalia C. et al. Ataques e Meca
nismos de Segurana em Redes Ad Hoc. Univer
sidade Federal do Rio de Janeiro, 2005.
UDA, Eduardo Takeo. Ataque Quiquadrado so
bre o Algoritmo RC6. Instituto Militar de Enge
nharia IME, 2003.
Email: deivison.pfranco@gmail.com
Link: http://lattes.cnpq.br/8503927561098292
|19
2. Teoria
Nesta seo sero descritas as premissas acerca da
criptografia, abrangendo os principais algoritmos e
sistemas complementares ou derivados deles.
2.1. Criptografia
De acordo com [Tanenbaum, 2003b], os mtodos
criptogrficos seguem o padro das equaes:
1. Introduo
2.1. Criptografia
|20
2 . 2 . A l g o r i t m o s d e C h a v e P r i v a d a ( S i m
tricos)
Estes algoritmos usam uma mesma chave para
criptografar e decriptografar e por isso a chave deve
ser mantida em segredo [Ucha, 2005]. Algoritmos
simtricos costumam usar chaves de poucos bits para
fazer a criptografia, mas para melhorar a segurana,
podese usar chaves de 1024 bits [Tanenbaum,
2003b]. Ainda segundo a mesma fonte, so algorit
mos eficientes pois a computao necessria para
criptografar/decriptografar uma mensagem contro
lvel e sua maior desvantagem que o emissor e o
receptor devem possuir a chave secreta compartilha
da e a mesma precisa ser transmitida de alguma for
ma, com segurana.
|21
|22
3. Prtica
O GNU Privacy Guard (GnuPG) , segundo [Te
am, 2013a], uma implementao completa e livre do
padro OpenPGP, como definido na RFC 4880. O
comando gpg, que ser utilizado neste artigo, de
acordo com [Team, 2013b], a parte OpenPGP do
GnuPG: uma ferramenta para prover criptografia di
gital e servios de assinatura usando o padro
OpenPGP e que prov funcionalidades completas pa
ra o gerenciamento de chaves criptogrficas.
Os conceitos da seo 2 sero aplicados com o
GnuPG nesta seo. No objetivo deste texto ser,
portanto, um manual definitivo para o programa. Ca
so o leitor queira saber mais opes e exemplos de
utilizao do GnuPG, recomendase a leitura de [de
Oliveira, 2004] e do seu prprio manual, em [Team,
2013b]. A verso do programa utilizada nos testes
foi a 1.4.11, juntamente com o arquivo da RFC
48802.
|23
aes256
|24
4. Ataques
De acordo com [Team, 2013b], a parte mais frgil
do sistema criptogrfico inteiro a senha do usurio.
Desta forma, bem mais simples do que atacar fragili
dades dos algoritmos criptogrficos modernos co
mo o AES, tentar descobrir a senha usada na
criptografia. Nesta seo sero apresentados dois
exemplos neste sentido, um para a criptografia sim
trica e outro para assimtrica.
|25
5. Concluso
A criptografia prov uma camada de segurana
extra s comunicaes eletrnicas. No caso da inter
ceptao de uma mensagem criptografada por uma
terceira parte, no trivial a obteno do contedo
decriptografado sem o conhecimento das chaves crip
togrficas. Ainda assim, como no dito popular,
``uma corrente to forte quanto seu elo mais fraco'',
de nada adianta utilizar mtodos criptogrficos de l
tima gerao, se no houver cuidado com o gerencia
mento das chaves.
Atravs dos exemplos apresentados na seo 4,
podese perceber que o tamanho da senha , assim
como a diversidade de caracteres e.g., letras
maisculas, minsculas, nmeros e caracteres especi
ais que compem a mesma, fator decisivo para se
gurana em ataques de fora bruta. Contudo, uma
senha longa e com diferentes tipos de caracteres, po
der ser facilmente descoberta por um ataque de dici
onrio, caso seja uma palavra ou expresso de uso
comum.
importante, portanto, que haja uma poltica bem
definida para as senhas usadas nos sistemas de crip
tografia. Os usurios devem estar cientes sobre a uti
lizao de senhas fortes que utilizem conjuntos de
caracteres diferentes e que no sejam suscetveis a
ataques de dicionrio e sobre a importncia de
mantlas em sigilo. Alm disso, os administradores
de sistema devem atentarse para a correta configura
o da infraestrutura, de forma que dados cruciais pa
ra a seguraa como senhas e chaves privadas
|26
Referncias
[de Oliveira, 2004] de Oliveira, B. G. (2004). Usando o GNU Privacy Guard (GnuPG). GRIS UFRJ,
1a. edio.
[de Oliveira, 2005] de oliveira, B. G. (2005). Fundamentos da Criptologia: Parte I Introduo e
Histrias. GRIS UFRJ, 1a. edio.
[Tanenbaum, 2003a] Tanenbaum, A. S. (2003a). Redes de Computadores. Elsevier, 4a. edio.
[Tanenbaum, 2003b] Tanenbaum, A. S. (2003b). Sistemas Operacionais Modernos. Pearson, 2a. edio.
[Team, 2013a] Team, G. P. G. (2013a). Gnu privacy guard home page. www.gnupg.org. Acesso em 2 de
julho de 2013.
[Team, 2013b] Team, G. P. G. (2013b). Gnu privacy guard manual page.
[the Ripper Team, 2013] the Ripper Team, J. (2013). John the ripper readme files.
[Ucha, 2005] Ucha, J. Q. (2005). Segurana Computacional. UFLA/FAEPE, 2a. Edio.
Notas
1
[de Oliveira, 2005] explica que a literatura adotou os nomes Alice e Bob para tornar mais didticos os
exemplos que usam algo como ``criptografado por A e decriptografado por B.''
2
http://www.ietf.org/rfc/rfc4880.txt
3 A sada
foi redirecionada para /dev/null, pois o foco do teste foi o tempo para descoberta da senha. Em
um ambiente normal, o comando time e esse redirecionamento podem ser omitidos.
4
Para cada exemplo foram feitos trs testes e o resultado foi a mdia deles.
Sistema com todas as atualizaes instaladas at o momento de execuo dos testes. Durante este
perodo, havia outros processos rodando, que devem ter afetado o desempenho dos programas.
6
http://www.openwall.com/john
https://github.com/magnumripper/JohnTheRipper
Entre cada execuo, o arquivo run/john.pot foi apagado, pois ele um cache de senhas descobertas,
para agilizar futuras operaes sobre o mesmo arquivo.
9
O John vem com um arquivo run/password.lst que um dicionrio bsico de senhas. A ttulo de
curiosidade, ele possui as senhas dos dois exemplos cadastradas.
|27
|28
#!/usr/bin/python
#gpgbf.py
import subprocess as su
import itertools as it
import string as st
import sys
class BruteForce(object):
"""Attacks a GnuPG symmetricallyencrypted file.
Author: Jose' Lopes de Oliveira Jr. <jlojunior@gmail.com>
License: GPLv3+
"""
def __init__(self, f):
"""Builds up the object.
Keyword arguments:
f a GnuPG symmetricallyencrypted file
"""
try:
with open(f) as aux: self.f = f
except IOError:
print('ERROR: Cannot access file {0}'.format(f))
exit(1)
self.command = 'echo {0} |gpg batch passphrasefd 0\
output=/tmp/{1}\
{1} 2> /dev/null'
def gen_passwds(self, charset, ml):
"""Creates an iteration according to parameters.
Keyword arguments:
charset the charset used to build iteration
ml (maxlength) results will have from 1 to ml chars
Returns a list with the generated iterations.
Author: Rafael Alencar <rafaellabs.com>
"""
return (''.join(candidate)
for candidate in
it.chain.from_iterable(it.product(charset,
repeat=i)
for i in range(1,
Dezembro 2013 segurancadigital.info
ml + 1)))
def attack(self):
"""Do the attack itself."""
for passwd in self.gen_passwds(st.ascii_lowercase +
'0123456789', 6):
try:
print('Trying: {0}'.format(passwd))
su.check_output(self.command.format(passwd,
self.f),
shell=True)
# When the file cannot be decrypted bad
# password, an exception is raised:
# subprocess.CalledProcessError.
except: pass
else:
print('YIPPEE KIYAY! This is the password!')
su.call(['rm', 'rf', '/tmp/{0}'.format(self.f)])
return 0
print('Unable to determine password. :(')
return 1
##
# MAIN
#
if __name__ == '__main__':
exit(BruteForce(sys.argv[1]).attack())
Email: jlojunior@gmail.com
Site: jilo.cc
Github: forkd
|29
|30
|31
|32
A Segurana em Computao
nas Nuvens
Resumo
Este estudo teve por objetivo analisar como ocorre
a segurana da informao na computao nas nu
vens. O mtodo de pesquisa utilizado foi a pesquisa
qualitativa de levantamento bibliogrfico. No decor
rer do estudo foram definidos conceitos sobre Cloud
Computing, alm de analisado o seu funcionamento e
servios oferecidos. Foram tambm definidos concei
tos sobre segurana da informao, e analisado a se
gurana em ambiente nas nuvens, bem como o
gerenciamento de riscos. Verificouse que apesar do
Cloud Computing ser um servio novo, cada vez
mais as empresas esto aderindo a este tipo de servi
o, a fim de promover a reduo dos custos, tanto
operacionais como de infraestrutura. Porm, alerta
se que necessrio analisar os aspectos de segurana
do provedor, no qual ir armazenar os seus dados.
Atualmente, a segurana em Cloud Computing ainda
no segura e eficaz, pois organizaes como ban
cos, no utilizam este tipo de servio devido no con
fiarem totalmente nesta segurana.
PalavrasChave: PalavrasChave: Cloud Compu
ting Segurana em Cloud Computing Gerenciamen
to de Risco.
1. Introduo
2. Objetivos
|33
3. Metodologia de Pesquisa
A metodologia de pesquisa utilizada neste estudo
foi a pesquisa qualitativa de levantamento bibliogr
fico. Entendese por pesquisa qualitativa aquela que
procura no enumerar ou medir os fenmenos ou
eventos estudados nem utiliza a anlise estatstica
dos dados (GODOY, 1995). Assim, a pesquisa quali
tativa busca compreender um fenmeno atravs de
uma anlise holstica, com a coleta de diferentes ti
pos de informaes no contexto em que o fenmeno
ocorre (YIN, 2001).
O levantamento bibliogrfico, de acordo com Oli
veira (2002), tem por finalidade conhecer as diferen
tes formas de contribuies cientficas realizadas
sobre determinado assunto ou fenmeno. Este tipo de
pesquisa para Martins (2002) tem como objetivo de
recolher, selecionar, analisar e interpretar as contri
buies tericas j existentes sobre determinado as
sunto.
Sendo assim, a pesquisa seguiu as seguintes etapas:
1. Seleo de livros, artigos, publicaes, dis
sertaes e teses, atravs de pesquisas em acervos
de bibliotecas e internet, a fim de conhecer e obter
informaes de publicaes existentes sobre o te
ma e os aspectos que j foram abordados, verifi
cando as opinies similares e diferentes a respeito
do tema ou de aspectos relacionados ao mesmo, ou
ao problema de pesquisa.
2. Elaborao de fichas para anlise. As fichas
foram elaboradas conforme a seguir:
* Fichas Bibliogrficas: com dados gerais sobre o
artigo
* Fichas de Citaes: com a reproduo literal entre
aspas e a indicao da pgina da parte dos textos li
dos de interesse especfico para a redao dos tpi
cos e itens da reviso
|34
4. Reviso Bibliogrfica
Para uma melhor compreenso, este estudo foi di
vidido em quatro captulos. No primeiro captulo
feito a introduo do estudo, definindo os objetivos e
metodologia de pesquisa adotada. No segundo cap
tulo so discutidos conceitos sobre Cloud Compu
ting, alm de analisado o funcionamento e os
servios oferecidos por esta tecnologia. No terceiro
captulo so definidos conceitos sobre segurana da
informao, alm de analisado como ocorre segu
rana em Cloud Computing e o gerenciamento de
riscos. Por ltimo so feitas as consideraes finais
sobre o estudo.
5. Cloud Computing
5.1 Conceitos
Cloud Computing ou Computao em Nuvens a
virtualizao de produtos e servios computacionais,
ou seja, uma maneira de armazenar todas as infor
maes em servidores virtuais chamados de nu
vem, onde h uma tendncia mundial para este
modelo no necessitando de mquinas velozes com
um grande potencial de hardware e sim de um sim
ples computador conectado internet para rodar to
dos os aplicativos. (SANTOS MENESES, 2011)
Hoje, h grandes empresas investindo nesta tec
nologia para oferecerem esses servios a seus clien
tes, como a gigante Google. Ela possui grandes
parques computacionais armazenando todas as infor
maes particulares de usurios no mundo, sendo es
ses
produtos
e
servios
disponibilizados
gratuitamente em sua maioria. Na realidade, uma
simples troca est sendo feita, na qual dispemse de
servios e temse espao para guardar informaes.
(SANTOS MENESES, 2011)
Computao em Nuvens surgiu da necessidade de
se compartilhar ferramentas computacionais pela in
terligao dos sistemas, utilizandose a internet como
principal meio de comunicao, em um aspecto se
Dezembro 2013 segurancadigital.info
|35
|36
|37
|38
usurio autorizado.
Fabricao: Dvilla (2002) explica que nesta
classificao, o atacante tem como finalidade se pas
sar por um usurio do sistema, a fim de obter infor
maes para transmitir dados na rede, ou seja,
atacase a autenticidade das informaes, conforme a
Figura 8.
|39
|40
ina
g
ap
m
i
x
r
p
na
a
u
tin
n
o
C
Dezembro 2013 segurancadigital.info
|41
7. Resultados
Este estudo teve por objetivo analisar como ocorre
a segurana da informao na computao nas nu
vens. No decorrer do estudo foram definidos concei
tos sobre Cloud Computing, alm de analisado o seu
funcionamento e servios oferecidos. Foram tambm
definidos conceitos sobre segurana da informao, e
analisado a segurana em ambiente nas nuvens, bem
como o gerenciamento de riscos.
Verificouse que apesar do Cloud Computing ser
um servio novo, cada vez mais as empresas esto
aderindo a este tipo de servio, a fim de promover a
reduo dos custos, tanto operacionais como de in
fraestrutura. Porm, alertase que necessrio anali
sar os aspectos de segurana do provedor, no qual ir
armazenar os seus dados. Atualmente, a segurana
em Cloud Computing ainda no segura e eficaz,
pois organizaes como bancos, no utilizam este ti
po de servio devido no confiarem totalmente nesta
segurana.
|42
8. Referncias Bibliogrficas
CASTRO, R. C. C. SOUSA, V. L. P. Segurana em
Cloud Computing: Governana e Gerenciamento de
Riscos de Segurana. Disponvel em:
<http://www.infobrasil.inf.br/userfiles/2605S51
68740Seguranca%20em%20Cloud.pdf> Acesso em
20 out 2011.
DVILLA, Mrcio H. C. Segurana de Redes. Belo
Horizonte, 2001. Aula 2. Disponvel em:
<http://www.inet.com.br/~mhavila/aulas/seguranca/m
aterial.html>. Acesso em: 01 abr 2011.
DIAS, Cludia. Segurana e Auditoria da Tecnologia
da Informao. So Paulo: Axcel Books, 2000.
GABBAY, Max Simon. Fatores influenciadores na
implementao de aes de gesto de segurana da
informao: um estudo com executivos e gerentes de
tecnologia da informao em empresas do Rio Grande
do Norte. Tese (mestrado). Universidade Federal do
Rio Grande do Norte, 2003.
INFORMATION Society. Towards a European Cloud
Computing Strategy. Disponvel em:
<http://ec.europa.eu/information_society/activities/clo
udcomputing/index_en.htm>. Acesso em: 13 jun 2012.
JULIANA, A. Regulamentao do uso da nuvem
mexe com privacidade e soberania. 2011. Disponvel
em <
http://www.nic.br/imprensa/clipping/2011/midia1020.
htm> Acesso em 18 jul 2012.
Dezembro 2013 segurancadigital.info
Lucas Mazzer
Lucas Mazzer graduado em Cincia da
Computao pela Universidade Paulista
(UNIP) de CampinasSP e tem MBA em
gesto da Segurana da Informao pela
Faculdade IBTA de Campinas SP.
Atualmente trabalha como coordenador
de T.I. em uma indstria de ferramentas
agrcolas.
Email: lucasmazzer@yahoo.com.br
Linkedin: http://br.linkedin.com/pub/lucasmazzer/50/216/a83/
|43
Resumo
A ITIL pode auxiliar os envolvidos em projeto,
manuteno, suporte e operao dos servios da Tec
nologia da Informao. Sendo parte da governana
de TI, a ITIL tem o objetivo de alinhar a tecnologia
da informao ao negcio. A gesto de servios de TI
uma abordagem que trata pessoas, processos, tec
nologia e parceiros de TI como componentes de um
servio de TI oportunizando o tratamento de um ser
vio de TI como um todo. As principais caractersti
cas que diferenciam os servios dos produtos so:
intangibilidade, indivisibilidade, variabilidade e pere
cibilidade. Existem trs dimenses consideradas pela
gesto de servios de TI: pessoas, processos e tecno
logias. Hoje o mercado dispe uma variedade de mo
delos padres para a gesto de servios de TI, porm
na maioria das vezes, as organizaes optam por uti
lizar a ITIL como principal apoio para implementar
um novo paradigma de gesto. A ITIL descreve um
conjunto de melhores prticas para gesto dos servi
os de TI, atualmente est em sua 3 verso, denomi
nada ITIL v3. Podese dizer que a adoo da ITIL,
uma colaborao para que a empresa adote seus pr
prios mtodos. Para implementar as prticas da ITIL,
uma questo inicial a definio da responsabilidade
pela conduo do projeto de aderncia ITIL. Nesse
contexto, podese seguir dois caminhos: conduzir o
|44
Introduo
A luta pela obteno do sucesso das organizaes
rdua, o crescimento da competitividade empresa
rial est em constante evoluo e vence quem ofere
Gerenciamento de servios de TI
Atualmente as organizaes atendem a diversos
ramos, utilizando mtodos que possam dar qualidade
aos servios desde a fase de negociao entrega aos
clientes.
A tecnologia da informao est presente em di
versas reas da organizao, interligandose a outros
setores tornando perceptvel a viso ampla da compa
nhia, visualizando problemas e buscando solues
plausveis.
A Gesto de Servios de TI fundamentase na har
monia entre pessoas, processos e tecnologias para en
trega de servios de TI que gerem valor para
organizao.
Os servios realizados pela organizao sejam f
sicos ou no, possuem caractersticas que ajudam a
equipe a analisar os riscos e avaliar os processos que
sero ou foram concludos. Dentre essas caractersti
cas as principais so:
Intangibilidade: O servio pode ser considera
do abstrato.
Variabilidade: O servio no est diretamente
com quem o executa, mas tambm depende de ou
tros fatores, sendo altamente varivel.
Perecibilidade: O servio executado no pode
ser exposto venda ou outras utilizaes futuras.
|45
Estratgia do Servio
Conhecendo A ITIL v3
|46
Transio do Servio
Ao sair do desenho de servio, o servio intro
duzido ao negcio no uso operacional considerando o
custo, prazo e qualidade, realizando a transio pro
curando causar o mnimo de imapcto possvel.
A informao adquirida durante todo o ciclo de
vida dos servios essencial para seu desenvolvi
mento, portanto a ITIL recomenda o uso de um siste
ma capaz de gerenciar o conhecimento dos servios,
para que todas as informaes sejam gerenciadas.
O Gerenciamento de Mudanas, Gerenciamento
da Configurao e de Ativos de Servio, Gerencia
mento de Liberao e Implantao, Validao e Teste
de Servio, Avaliao e Gerenciamento do
Dezembro 2013 segurancadigital.info
Operao de Sevio
realizado o monitoramento de fatores que influ
enciaro nos resultados, desde a disponibilidade de
servios aos custos envolvidos no projeto, onde sero
realizadas as coodenaes e execues das atividades
necessrias.
O livro foi baseado nas funes: Central de Servi
o, Gerenciamento Tcnico, Gerenciamento das Ope
raes de TI e Gerenciamento de Aplicativo e nos
processos: Gerenciamento de Evento, Gerenciamento
de Incidente, Gerenciamento de Problema, Cumpri
mento de Requisio e Gerenciamento de Acesso.
Certificaes Da ITIL
Em 1991 foi criado o exame de certificao da
ITIL, com a finalidade de capacitar e qualificar pro
fissionais de TI, para que possam contribuir interna
mente nas reas de TI, buscando a integrao,
entrega de solues, servios e tecnologias.
As certificaes so divididas em nveis proporci
onadas pelas entidades EXIN e ISEB, os treinamen
tos e exames so aplicados pelo grupo APM.
Atualmente existem trs nveis de certificao,
so eles:
ITIL foudation: Tem como objetivo fornecer
aos alunos conhecimento sobre elementos chaves,
conceitos e terminologias utilizadas em ITIL. Seu
contedo bsico, a certificao pode ser adquira
da por qualquer indivduo que se intesse pelo as
sunto.
ITIL Practitioner: Certificao a nvel profissi
onal para interessados em ITILv2 (segunda verso
da ITIL). Seus focos principais so o gerencia
mento de mudanas, gerenciamento de liberao e
gerenciamento de mudanas, gerenciamento de
configurao, gerenciamento de incidentes, os
processos de servicedesk e gerenciamento de pro
|47
A I m p o r t n c i a D a I T I L E m U m a O r g a n i z a
o
A ITIL considerada uma ferramenta flexivel, sua
adoo pode servir apenas como base para que a em
presa possa obter sua prpria metodologia, de acordo
com as necessidades apresentadas na companhia.
Esse conjundo de boas prticas j aceito em todo
o mundo pode aliarse a outras ferramentas para ga
rantir sua eficincia, como o CMMI, responsvel pe
lo nvel de maturidade para o desenvolvimento de
software.
A revista Magazine (p. 22) aborda o modelo de
boas prticas com relao s mudanas e nveis de
maturidade da organizao.
A identificao das mudanas que sero necess
rias nos processos da organizao para adequarse s
prticas da ITIL realizada atravs de uma anlise de
maturidade dos processos da organizao, onde so
percebidas as diferenas entre processos e estrutura
atuais da TI e as melhores prticas preconizadas pela
ITIL. O resultado da anlise orienta a organizao
sobre quais prticas adotar e quais processos imple
mentar. Algumas empresas tm utilizado abordagens
semelhantes do CMMI para representar o nvel de
maturidade dos processos.
(Revista Magazine, ed.17, p.22)
A ITIL conquistou seu espao em diversos ramos
de atividades e setores organizacionais, mostrando
sua capacidade para alcanar objetivos de acordo
com os conceitos, artifcios, processos e funes da
Gesto de Servios de TI.
Concluso
Inicialmente criado pelo pela CCT, com a juno
Bibliografia
BARCELLOS, Monalessa Perini. ITIL Information
Technology Infrastructure Library. Revista Engenharia
de Software Magazine, Ed. 17.
Disponvel em:
<http://brunomarota.blogspot.com/2012/04/resumo
introdu.html>
Acesso em: 03 de setembro de 2013 s 09:46.
Email: carladannielle@hotmail.com
carladaniellevzp@gmail.com
Linkedin: http://migre.me/g0SrB
|48
Parceiros
|49
www.ablesecurity.com.br
|50
ANNCIO AbleSecurity
PARCEIRO Brasport
www.brasport.com.br/index.php?dispatch=promotions.set&code=segdigital
|51
|52
PARCEIRO Clavis
|53
PARCEIRO eSafer
|54
PARCEIRO eSafer
|55
NOTCIAS
NSA pode desencriptar comunicaes GSM,
afirma jornal
A Agncia de Segurana Nacional americana (NSA,
na sigla em ingls) pode desencriptar comunicaes
mveis do protocolo GSM de segunda gerao,
segundo informou neste sbado o jornal "The
Washington Post".
O jornal se baseia em documentos internos da NSA
fornecidos pelo exanalista da CIA Edward Snowden,
acusado pelos EUA de divulgao de informao
classificada, nos quais se assegura que podem
"processar codificaes A5/1" uma tecnologia ainda
extensamente utilizada no mundo todo.
>> http://migre.me/h1P7n
>> http://migre.me/h1P8U
|56
DIVULGAO SlackSpace
Se r vi os
|57
|0
|58
Janeiro 2012
Dezembro
2013 segurancadigital.info
segurancadigital.info
Segurana Digital
11 Edio Dezembro de 2013
www.segurancadigital.info
@_SegDigital
segurancadigital