Faculdade Maurcio de Nassau

Segurana de Redes
Prof.: Luciano de Aguiar Monteiro
lucianoaguiarthe@gmail.com

Unidade I Introduo a Segurana de Redes

Histrico e Motivao.
Riscos da Internet.
Cdigos Maliciosos.
Formas de Ataques.
Preparao para um ataque (Footprint)

Por que se preocupar com Segurana?

Interesses em:
Senhas, nmeros de cartes de crdito;
Conta de acesso internet;
Dados pessoais e comerciais;
Danificao do sistema;
Uso de seus equipamentos para atas licitos;
Chantagens, etc;

Por que se preocupar com Segurana?

Pode ser utilizado para realizar atividades:
ilcitas.(pedofilismo por exemplo).
Realizar ataques contra outros computadores.
Disseminar vrus.
Enviar SPAMs.
Furtar dados.
Vandalismo.

E quanto as senhas?
De posse delas pode-se:
Ler e enviar emails em seu nome.
Obter informaes pessoais suas.(Nmero do carto de crdito)
Esconder a real identidade de um atacante
Obter Acesso a sistemas de sua empresa,etc

Como quebrar senhas?

Tcnicas mais utilizadas:
Engenharia Social.
Papis abandonados.
Dicionrios e fora bruta
(password crackers).

Como criar senhas seguras?

Uma boa poltica evitar:
Palavras completas e derivadas, mesmo em outra lngua.
Palavras que podem ser obtidas do prprio arquivo de hashes.
Padres como 123456, qwerty, asdfg, aaaaaa etc...
Verbetes enciclopdicos: Atlantis, Socrates, Rhodes etc...
Licena de carro, nmero de casa, telefones, datas etc...
Nomes prprios, sobrenomes, concatenaes, abreviaes, siglas etc...
Variaes como: Maria, MARIA, MariA, Maria1, Maria2006, airaM, airam etc...
Senhas com menos de 6 caracteres.
Senhas com caracteres somente alfabticos ou somente numricos.
Pseudo-cifragens como: v@1i$&r&, qu@tr!1h0, 0r@c1&, m@r1@...
Senhas que exigem digitao lenta.
Reuso de senhas em varios sistemas (Senha Viciada)

Equvocos comuns...
Prefiro esse produto pois ele usa uma chave de 512 bits!
O tamanho da chave somente um dos fatores, entre vrios.
Optamos por esse produto porque ele usa um algoritmo
proprietrio.
Segurana por obscuridade s tem valor se atuar apenas
como coadjuvante.
A criptografia foi eu mesmo que fiz, assim ninguem saber como
quebr-la.
A histria mostra que quase nunca uma boa poltica, pois
geralmente baseada apenas em segurana por
obscuridade.

Preocupao Contnua com Segurana

Entender a natureza dos ataques;
Novas tecnologias trazem novas vunerabilidades;
Novas formas de ataques so criadas;
Aumento da conectividade resulta em novas possibilidades
de ataques;
Existncia tanto de ataques direcionados quanto e ataques
oportunsticos;
A defesa mais complexa que o ataque;
Aumento dos crimes digitais.

O que segurana afinal?

Segurana: termo sobrecarregado demais
Significa diferentes coisas para diferentes pessoas em diferentes
situaes
Pode ser : Dificultar/impedir ocorrncia de eventos indesejados
Mas... que eventos indesejados?
Perguntar se algo seguro no faz sentido!
Seguro contra o que?
Seguro contra quem ?
Seguro em que condies ?

Algumas definies!
Ameaa
Uma definio:
Fator ou condio que, por existir, pode viabilizar a ocorrncia
de um evento (normalmente indesejvel).
Ex:
Existncia de alguem armado aqui na sala de aula;
Existncia de nuvens acima de voc;
Existncia de um link entre seu computador e a internet;

Algumas definies!
Risco
Definio clssica:
Probabilidade da ocorrncia de um evento indesejvel,
multiplicada pelo prejuzo que esta ocorrncia possa vir a causar;
Risco = % de ocorrncia X prejuzo
Ex:
Risco de chover:
Supe existir uma ameaa => nuvens
Prejuzo: se chover, o que vc perde ?
Quanto mais nuvens e mais carregadas, maior a ameaa, e
portanto a probabilidade de sua ocorrncia.

Algumas definies!
Vulnerabilidade
Uma definio:
Fraqueza existente que pode ser explorada por um
acidente ou incidente, uma vez que est exposta a
uma ameaa.
Ex:
Voc est com o sistema imunolgico deprimido, e
eventualmente exposto a um ambiente biologicamente
hostil (p. ex. vrus e bactrias);
Voc no possui um no-break e vez por outra falta
energia;

Interao Risco, Ameaa e Vulnerabilidade

Princpios Bsicos

Confidencialidade
Autenticidade;
Integridade;
Disponibilidade.

Confidencialidade
Significa proteger informaes contra sua revelao para
algum no autorizado - interna ou externamente...
Especificamente:
Consiste em proteger a informao contra leitura e/ou cpia por
algum que no tenha sido explicitamente autorizado pelo
proprietrio daquela informao.
No caso da rede, isto significa que os dados, enquanto em
trnsito, no sero vistos, alterados, capturados por dispositivos
ilicitos, ou extrados da rede por pessoas no autorizadas.

Autenticidade
Trata de assegurar que a counicao seja autntica.
Assegura que a entidade que esta trocando informaes
sigilosas realmente quem deveria ser
O servio de autenticao em um sistema deve assegurar ao
receptor que a mensagem realmente procedente da origem
informada em seu contedo. Normalmente, isso
implementado a partir de um mecanismo de senhas ou de
assinatura digital.

Autenticidade (2)
A verificao de autenticidade necessria aps todo
processo de identificao, seja de um usurio para um
sistema, de um sistema para o usurio ou de um sistema para
outro sistema;
Ela a medida de proteo de um servio/informao contra a
personificao por intrusos.
No-Repudio
Termo relacionado a impossibilidade de um autor de
determinada ao negar que tenha realizado esta ao

Integridade
A integridade consiste em proteger a informao contra
modificao sem a permisso explcita do proprietrio daquela
informao.
A modificao inclui aes como escrita, alterao de
contedo, alterao de status, remoo e criao de
informaes.
Deve-se considerar a proteo da informao nas suas
mais variadas formas, como por exemplo, armazenada
em discos ou fitas de backup.

Integridade (2)
A integridade assegurada evitando-se alterao no
detectada de mensagens (ex. trfego bancrio) e o forjamento
no detectado de mensagem (aliado, muitas vezes, violao
de autenticidade)
O principio deve garantir que o dado que foi tranmitido ou
armazenado no foi/esta corrompido.
O Servio de integridade
pode possuir algum
mecanismo automaticos de recuperao ou violao.

Disponibilidade
Consiste na proteo dos servios prestados pelo
sistema de forma que eles no sejam degradados ou se
tornem indisponveis sem autorizao, assegurando ao
usurio o acesso aos dados sempre que deles precisar.
Isto est intimamente relacionado continuidade dos
servios.
Desta forma interessante desenvolver aes
preventivas que visem tratar, tambm, de aspectos
estruturais como: energia eletrica, desastres, acidentes,
etc)
Atualmente existem uma grande variedades de ataques,
que podem resultar na perda ou reduo da
disponibilidade.

Princpios!
Atravs da correta aplicao desses princpios, a segurana da
informao pode-se trazer benefcios como:
aumentar a produtividade dos usurios atravs de um ambiente
mais organizado,
maior controle sobre os recursos de informtica
e, finalmente:
garantir a continualidade e a funcionalidade das aplicaes crticas
da empresa.

Cdigos Maliciosos
Envolvem basicamente a explorao de vulnerabilidades em
aplicativos e protocolos na camada de aplicao da pilha TCP/IP.
Vrus: programas capazes de infectar (fazer cpias de si mesmo)
outros programas e aplicativos;
worm: programa capaz de se propagar automaticamente atravs
da rede, que diferentemente dos vrus no precisam ser
explicitamente executados;
Cavalo de Tria (trojan horse): programa que executa funes
normalmente maliciosas sem que o usurio tome conhecimento.

Ataques (Exploits, Backdoor e Rootkits)

Exploit (explorador de falhas): Programa ou parte de um programa
malicioso projetado para explorar uma vulnerabilidade existente em um
software de computador.
Ex: Bug no Kernel Linux 2.6.17 at 2.6.24.1 syscall
vmspliceBackdoor (porta dos fundos):
Backdoor (Portas dos Fundos): Consiste em garantir acesso a um
determinado sistema de forma no-convencional, pode trabalhar com
portas ocultas atrs de servios triviais ou simplesmente escondida
com se utiliza pelo seu criador.
Exemplo : Backdoor no passwd
uucp:x:0:0:uucp:/var/spool/uucp:/bin/s
h

Ataques (Exploits, Backdoor e Rootkits) (2)

Rootkit: Um invasor, ao realizar uma invaso, pode
utilizar mecanismos para esconder e assegurar a sua
presena no computador comprometido. O conjunto de
programas que fornece estes mecanismos conhecido
como rootkit.
Um invasor, aps instalar o rootkit, ter acesso
privilegiado ao computador previamente
comprometido, sem precisar recorrer novamente aos
mtodos utilizados na realizao da invaso, e suas
atividades sero escondidas do responsvel e/ou dos
usurios do computador.

Ataques (Exploits, Backdoor e Rootkits) (2)

Funcionalidades Rootkits:
programas para esconder atividades e informaes deixadas pelo invasor
(normalmente presentes em todos os rootkits), tais como arquivos, diretrios,
processos, conexes de rede, etc;
backdoors , para assegurar o acesso futuro do invasor ao computador
comprometido (presentes na maioria dos rootkits);
programas para remoo de evidncias em arquivos de logs;
sniffers, para capturar informaes na rede onde o computador est
localizado, como por exemplo senhas que estejam trafegando em claro, ou
seja, sem qualquer mtodo de criptografia;
scanners, para mapear potenciais vulnerabilidades em outros computadores;
outros tipos de malware, como cavalos de tria, keyloggers, ferramentas de
ataque de negao de servio, etc.

Tipos de Ataques
Mais importante do que saber quem so os responsveis
pelos ataques aos sistemas computacionais conhecer
quais os mtodos e tecnologias empregados para se
comprometer os mesmos.
A seguir, segue algumas estatsticas que justificam a
necessidade de se obter o tipo de conhecimento em
questo:

Tipos de Ataques - Estatsticas

Incidentes Reportados ao CERT.br -- Janeiro a Dezembro de 2013

Tipos de Ataques - Estatsticas

Estatsticas de Notificaes de Spam Reportadas ao CERT.br

Tipos de Ataques (4)

Ataque Fsico
roubo equipamentos, fitas magnticas, cds, etc..(soluo: autenticao
e criptografia);
Packet Sniffing
Constiste na captura de pacotes que circulam pela rede, atravs do uso
de um sniffer de rede. (tcpdump, whireshark, etc);

Port Scanning
Anlise de um sistema com o intuito de descobrir os servios que esto
disponveis no mesmo, atravs da anlise das portas de servio TCP e
UDP. (nmap , retina, etc...)

Tipos de Ataques (5)

Scanning de Vulnerabilidades
Como visto anteriormente, um port scanner capaz de
identificar portas e servios disponveis em um sistema,
porm isso ainda no suficiente para comprometer a
segurana de um sistema. Para isso, precisa-se encontrar
alguma vulnerabilidade nessas portas e servios. Esses
softwares executam uma srie de testes no alvo,
procurando falhas de segurana em servios, protocolos,
aplicativos e sistemas operacionais. (Ex.: Nessus)

Tipos de Ataques (6)

Denial of Service
Os ataques DoS ou negao de servio consistem na
obteno de perda de desempenho proposital de
servios ou sistemas, de forma a impossibilitar o acesso
ao mesmo.
Existem diversas tcnicas para fazer um ataque de
negao de servio, dentre elas podemos citar: SYN
Flooding e Smurf.

Teste de Invaso (Ataque)

Atividade Tcnica Controlada;

Teste de segurana;
Simulao de Tentativas de Invaso e ataque
para obter acesso no autorizado a ativos de
informao.

Preparao p/ um Ataque: Pentest (Teste de

Penetrao)

Pentest:
Simulao de um ataque real a uma infraestrutura de TI;
Analisar e mitigar ameaas e vulnerabilidades
antes que algum as explore;
melhor ser Pr-Ativo.

Pentest: Anatomia

Distribuies
Backtrack (V5.0)
Distro baseada em debian-linux desenvolvida com grande
parte das melhores ferramentas livres para realizao de
pentesters
http://www.backtrack-linux.org/
Independentemente do seu Sistema Operacional instalado no seu computador,
Backtrack pode ser inicializado de um LiveDVD ou usando o seu Pendrive,
SDCard ou outros dispositivos mveis.

Backtrack v5

rvore de Ataque

Preparao para um Ataque - Footprint

Um cracker inicia seu trabalho antes mesmo da invaso
ocorrer atravs do footprint, ou seja,com a utilizao de
todas as tcnicas de levantamento de informaes para
uma posterior invaso, como: engenharia social,
fingerprint, leitura de banners de servidores, consulta
base de DNS do alvo, consulta base whois.
Conhecer o alvo o objetivo desta fase.

Preparao para um Ataque Footprint (2)

Alguns alvos comuns de footprint:
Nome de domnio e responsveis;
Servidores que fazem parte do domnio;
Fingerprint (identificao do S.O)
Servios TCP e UDP disponveis;
Topologia da Rede;
Nome de usurios e grupos;
Servidores ocultos por NAT;
Endereos de emails (principalmente administradores);
SMTP, FTP e outros servios
Estrutura de segurana (firewall e/ou IDS. etc...)

Preparao para um Ataque Footprint (2)

Alguns alvos comuns de footprint:
Nome de domnio e responsveis;
Servidores que fazem parte do domnio;
Fingerprint (identificao do S.O)
Servios TCP e UDP disponveis;
Topologia da Rede;
Nome de usurios e grupos;
Servidores ocultos por NAT;
Endereos de emails (principalmente administradores);
SMTP, FTP e outros servios
Estrutura de segurana (firewall e/ou IDS. etc...)

Footprint Obtendo Informaes

Whois;
Buscas na Internet;
Buscas locais (replicao de website);
Entradas de DNS;
Engenharia Social;

Obtendo Informaes - Whois

Determina o dono de um domnio, endereo de

rede ou IP (RFC 3912);
Descoberta de:
Nomes;
Endereos;
Contatos;
Servidores de DNS.

$ whois domnio
$ whois IP

Obtendo Informaes Google Hacking

Buscas na Internet envolvendo o alvo:

Identificao de servidores;
Servidores negligenciados;
Listagem de diretrios;
Senhas;
Banco de dados
Relatrio de segurana
Informao sensveis
Relatrios de acessos a internet, etc

Obtendo Informaes Google Hacking (2)

Uso de Curingas:
incluso/excluso (+-)
Asterisco (*)
Sinnimos (~)

Restries:
Site:
Filetype: (ou ext:)
Link:

Obtendo Informaes Google Hacking (3)

Operadores especiais:
Inurl:
Intitle:
Intext:

Verso especial da pagina

Cache:

Dorks - Padres de busca de material sigiloso previamente

indexado
Google hacking database
http://johnny.ihackstuff.com/ghdb/

Google Hacking - Exemplo

Obtendo Informaes DNS

Ferramenta DIG:
Testar Transferencia de Zona:
dig -t axfr domnio.com.br nameserver_do_dominio.dominio.com.br
Rastreando o caminho:
$ dig +trace www.site.com.br
Consulta Registro MX:
$ dig -t mx "domnio.com.br"

Obtendo Informaes DNS

Ferramenta host:
Colhendo entrada de DNS:
$ host www.uol.com.br
Nomes Tradicionais:
www, www2 ,pop, pop3, gw, fw, etc...

Outras Ferramentas

Ferramenta HPING
O hping3 um software poderoso para avaliao de
desempenho e at mesmo para ataques de DoS, para o
entermos melhor necessrio conhecermos a relao
cliente/servidor (three-way handshake).
O cliente envia uma requisio de conexo: pacote com flag syn
com um determinado nmero de sequncia x. O servidor recebe
o pacote e responde com uma mensagem de reconhecimento:
flag syn-ack com um nmero de sequncia x+1 e y. O cliente
reconhece o pacote syn-ack com y+1 e a conexo est
estabelecida.

Outras Ferramentas
Ferramenta HPING
O hping3 um software poderoso para avaliao de desempenho e
at mesmo para ataques de DoS, para o entermos melhor
necessrio conhecermos a relao cliente/servidor (three-way
handshake.
O cliente envia uma requisio de conexo: pacote com flag syn
com um determinado nmero de sequncia x. O servidor recebe o
pacote e responde com uma mensagem de reconhecimento: flag
syn-ack com um nmero de sequncia x+1 e y. O cliente reconhece
o pacote syn-ack com y+1 e a conexo est estabelecida.
A conexo fechada quando o cliente ou servidor envia um pacote
com flag fin ou de forma abrupta com uma flag rst.

Three-way Handshake

Cliente: Cambio servidor, mensagem 200 (Numero de seqncia do cliente), o

senhor est disponvel (SYN)?
Servidor: Positivo cliente! Mensagem 1450 (Numero de seqncia do servidor)
Prossiga com a mensagem (ACK=201), cambio.
Cliente: Positivo servidor! Mensagem 201 (numero de sequencia), confirmando
nmero da prxima mensagem: 1451, cambio!

HPING Sintaxe e Exemplos

Instalao (sistemas debian e derivados):
apt-get install hping3

Sintaxe:
hping3 <host> <parmetros>

Exemplos:
hping3 23.23.23.2 -p 80 -S -c 3

HPING 23.23.23.2 (eth0 23.23.23.2): S set, 40 headers + 0 data bytes

len=44 ip=23.23.23.2 ttl=64 DF id=0 sport=80 flags=SA seq=0 win=32792 rtt=0.2 ms
len=44 ip=23.23.23.2 ttl=64 DF id=0 sport=80 flags=SA seq=1 win=32792 rtt=0.1 ms
len=44 ip=23.23.23.2 ttl=64 DF id=0 sport=80 flags=SA seq=2 win=32792 rtt=0.1 ms

Nesta linha disparamos: -p 80 -c 3 (-p aponta a porta de envio dos pacotes e -c

count seta a quantidade de pacotes). Desta maneira podemos avaliar as respostas
do alvo.

Traceroute - Sintaxe e Exemplos

Instalao (sistemas debian e derivados):
apt-get install traceroute

Sintaxe:
traceroute <host destino>

Opes (principais) :
n : no resolver nomes
m : altera o ttl (time to live)

Ex: Saltos at um destino em uma porta especfica:

$ traceroute -n www.uol.com.br -p 80

Obtendo Informaes via SNMP

Protocolo de monitoramento e gerenciamento de dispositivos via
rede;
Muito utilizado em empresas de mdio/grande porte;
Embora crtico, a segurana comumente negligenciada.
Exemplo:

snmpwalk -c public -v1 "ip_alvo"

SNIFFER de Rede - TCPDUMP

Tcpdump uma ferramenta utilizada para monitorar os

pacotes trafegados numa rede de computadores. Ela
mostra os cabealhos dos pacotes que passam pela
interface de rede. Com ele podemos realizar anlises de
trfego, e conseqentemente detectar possveis
tentativas de ataques.
Sintaxe:

tcpdump [ opes ] [ expresso ]

TCPDUMP - Exemplos

Para iniciarmos a utilizao do tcpdump precisamos especificar a interface de

rede que queremos analisar com o parmetro -i seguido da interface desejada,
por exemplo, se quisermos analisar todo o trfego que passa pela interface
eth0, executaramos a seguinte linha de comando:
# tcpdump -i eth0

Conexes de origem podem ser monitoradas utilizando o parmetro src host,

um exemplo simples seria monitorarmos o trfego que vem de 192.168.0.9 para
nosso computador, com o ip 192.168.0.2. A linha de comando ficaria da
seguinte forma:
# tcpdump -i eth0 src host 192.168.0.9
Se quisermos monitorar as conexes especificando um host de destino,
poderamos faz-lo com o parmetro dst host, o exemplo abaixo mostra todo o
trfego do host 192.168.0.2 com 192.168.0.1, no caso, 192.168.0.1 nosso
gateway.
# tcpdump -i eth0 dst host 192.168.0.1

Outros Sniffers

Wireshark (ferramenta grfica) ambiente linux e

windows
www.wireshark.org

TCPSTAT

Dsniff

O Dsniff outro utilitrio que pode ser usado para a captura de dados
em uma rede.
Ele facilita a captura de e-mails, mensagens instantneas(ICQ) e
senhas.
Dsniff, na verdade, um conjunto de vrias ferramentas que ns iremos
visualizar.

Dsniff
Ferramenta dsniff mailsnarf : Captura e-mails na rede.
Uso
mailsnarf > /tmp/log.emails
Ferramenta dsniff msgsnarf : Captura mensagens instantneas como ICQ
Uso
Msgsnarf |tee /tmp/log.msn
Ferramenta dsniff tcpkill : matar qualquer conexo com o servio www (80) e o
ip.src 192.168.0.188
Uso
tcpkill -i wlan0 -9 port 80 and host 192.168.0.188

Obtendo Informaes: Deteco do SO

Deteco de Servios
Algumas portas so reservadas para determinados
servios
$ cat /etc/services | grep PORTA
Mas na prtica podemos usar qualquer uma!

Obtendo Informaes: Deteco do SO

Deteco de Servios
Identificao de protocolos de aplicao;
Banners;
Respostas especficas.

Obtendo Informaes: Deteco do SO - Fingerprint

Deteco de Servios
Algumas portas so reservadas para determinados
servios
$ cat /etc/services | grep PORTA
Mas na prtica podemos usar qualquer uma!

Obtendo Informaes: Varredura de Portas

Nmap - Exemplos
1. Em todas as portas UDP, manipulando o TTL com o
objetivo de enganar o sistema passivo:
$ nmap sU p ttl 128 192.168.0.1-35
2. Verificando mquinas ativas na rede, envio de icmp
$ nmap sP 192.168.0.0/24

3. Varredura TCP SYN em todas as portas

$ nmap sS p1-65535 192.168.0.1

Identificando Vulnerabilidades

Identificao de servios vulnerveis;

Varredura por vulnerabilidades;
Senhas padro;
Enumerao de vulnerabilidades encontradas.

Top 20: Controles de Segurana Crticos - SANS

Critical Control 1: Inventory of Authorized and Unauthorized Devices
Critical Control 2: Inventory of Authorized and Unauthorized Software
Critical Control 3: Secure Configurations for Hardware and Software on Mobile Devices, Laptops,
Workstations, and Servers
Critical Control 4: Continuous Vulnerability Assessment and Remediation
Critical Control 5: Malware Defenses
Critical Control 6: Application Software Security
Critical Control 7: Wireless Device Control
Critical Control 8: Data Recovery Capability
Critical Control 9: Security Skills Assessment and Appropriate Training to Fill Gaps
Critical Control 10: Secure Configurations for Network Devices such as Firewalls, Routers, and
Switches
Critical Control 11: Limitation and Control of Network Ports, Protocols, and Services
Critical Control 12: Controlled Use of Administrative Privileges
Critical Control 13: Boundary Defense
Critical Control 14: Maintenance, Monitoring, and Analysis of Audit Logs
Critical Control 15: Controlled Access Based on the Need to Know
Critical Control 16: Account Monitoring and Control
Critical Control 17: Data Loss Prevention
Critical Control 18: Incident Response and Management
Critical Control 19: Secure Network Engineering
Critical Control 20: Penetration Tests and Red Team Exercises

Varredura Automtica >> Nessus

Varredor de vulnerabilidades;
Grande variedade de plugins;
Atualizaes constantes
Verses 3+ no so mais GPL.

Varredura Automtica >> Nessus

Neste contexto, o teste de segurana denominado

Anlise de Vulnerabilidades a ferramenta Nessus
torna-se a melhor opo no mundo do software
livre para esta tarefa.
Instalao a partir do pacote pr compilado:
Acessar o site:
www.nessus.org/download
Fazer o download de acordo com o S.O utilizado.

Nessus - Instalao

Nessus Instalao (2)

Instalando pacote .deb:
# cd /home/cet/Desktop
# dpkg i Nessus-5.2.5-debian6_i386.deb
Fazer registro site do Nessus:
http://www.nessus.org/register
Fazer opo pela licena Free (HOME)

Nessus Instalao (4)

Em seguida, iniciar o deamon do Nessus:

/etc/init.d/nessusd start

Utilizando o Nessus
Acessar por:
https://<IP_SERVIDOR>:8834

Utilizando o Nessus (2)

Nessus: Scan
Scan Targets Exemplos:

nico IP: 192.168.0.1

Range: 192.168.0.1-192.168.0.255
Sub-rede com CIDR notao:192.168.0.0/24
Nome host: www.nessus.org

Perguntas? Dvidas?