Você está na página 1de 20

Capítulo 01 - Entendendo Ameaças Virtuais

Conceitos iniciais de Segurança da informação
Lembre-se que a maior ameaça sempre mora dentro do seu próprio ambiente. Em outras p
alavras: o usuário interno sempre terá mais acesso a recursos que o usuário externo, e
com isso é necessário implementar políticas de acesso e medidas de segurança que coíbam o
uso indevido de recursos.
Conceitos Iniciais Sobre Sistemas Operacionais
Existem vários motivos pelos quais sistemas operacionais podem ser infectados por
um código maalicioso e um motivo que é cada vez maior é justamente a má configuração do sist
ema operacional.
Quando executada em um sistema operacional, uma aplicação torna-se um processo.
Proteção com uso de anéis
A ideia principal é proteger os dados contra o mau funcionamento de programas devi
do a erros de programação ou devido a tal programa estar tentando fazer um determina
do acesso malicioso. Tal proteção é implementada com a divisão de processos, fazendo com
que diferentes partes do sistema tenham acessos delimitados e controlados. Isso
é feito com um recurso chamado anéis de proteção.
Modo Usuário X Modo Kernel
Aplicação em modo kernel, caso tenha um mau funcionamento, pode afetar o sistema com
o um todo devido ao fato que todos os processos no modo kernel compartilham o me
smo espaço de endereçamento de memória.
Pragas Virtuais
Vírus
Os vírus também podem se multiplicar através de programas, atualmente muito populares,
de conversas conhecidos como Instant Messenger tais como Windows Live Messenger
ou Yahoo Messenger. Esses programas de maneira mais interativa e rápida de comuni
cação, se comparado ao e-mail, pode também enviar arquivos anexados e facilitar a prol
iferação dos vírus. Estes vírus normalmente são ativados quando o usuário abre o arquivo em
forma de anexo na mensagem.
* Um vírus de arquivo infecta arquivos de programas executavéis, normalmente com ext
ensões .EXE ou .COM.
Como forma de evitar que sejam detectados, alguns vírus mudam sua forma. Esta técnic
a é conhecida metamorfose, ou seja, além de mudar de forma, ele criptografa seu cont
eúdo de forma dinâmica, tornando-se ainda difícil sua detecção.
Rootkits
Em sistemas operacionais Windows o System é o maior privilégio que se pode obter, se
ndo comparado ao privilégio de root no Unix.
Quando o rootkit oculta determinados processo e arquivos, ele permite que o atac
ante use outras porções do sistema operacional sem que o usuário ou aplicação saiba o que
está acontecendo. Isto até mesmo impossibilita que softwares de proteção, como antívirus,
por exemplo, detectem o rootkit.
O RootRevelaler, forncecido pela Microsoft Sysinternals (http://www.sysinternals

.com) é uma ferramenta de detecção de rootkit.
Capítulo 02 - Riscos relacionados a Hardware e Periféricos
Controle de Hardware
Os malwares mais sofisticados podem; se instalar na BIOS; com isso, mesmo que o
disco do computador seja formatado o código malicioso vai sempre estar em ação. Entret
anto, como os programas de BIOS são normalmente específicos por fabricante, um ataqu
e contra BIOS pode se limitar apenas a alguns computadores de determinado fabric
ante.
Para evitar ataques de reprogramação da BIOS, é recomendado que a BIOS seja configurad
a para não aceitar este processo de reprogramação.
Controlando Unidades de Disco
O Vazamento de informações devido a dados remanescentes em disco que já foi utilizada é
algo crescente e na maioria das vezes isso ocorre devido a uma política de segurança
física que não cobre tal aspecto.
Um exemplo de um software que pode ser usado para formatação em baixo nível e destruição d
os dados é o Disk Wipe (www.diskwipe.org). Outro método de destruição de dados é através da
"destruição física do disco" utilizando um processo chamado de "disk shredding".
Os riscos das Unidades Removíveis
Há uma série de riscos relacionados ao livre uso de discos removível em um ambiente co
rporativo. Entre eles podemos citar:
* Vazamento de informação: A partir do momento em que o usuário tem acesso à informação e te
m permissão de conectar uma unidade de disco removível na sua estação de trabalho, uma p
orta para o vazamento de informação está aberta.
* Pirataria de Software: Algumas empresas mantêm os softwares com os números seriais
em um local comum da rede; como as unidades removíveis nos dias de hoje são de gran
de capacidade, é possível que o usuário copie o software para a unidade removível e mais
tarde instale em outra localidade.
Software Malicioso: Software malicioso pode estar hospedado em uma unidade de di
sco removível que o usuário está trazendo para conectar na sua estação da rede corporativa
.
Devido as razões expostas acima é necessário criar uma política de manipulação de disco remo
vível que permita mitigar estes riscos. Alguns sistemas operacionais de mercado já o
ferecem a capacidade de criptografar a unidade de disco, e um exemplo disso é o Bi
tlocker da Microsoft.
** Conficker
O Artigo http://support.microsoft.com/kb/967715/pt-br mostra como desabilitar a
funcionalidade de AutoRun.
Armazenamento de Dados na Rede
Um excelente artigo que trata sobre segurança de NAS usando segurança em profundidad
e pode ser acessado no link http://www.sans.org/reading_room/whitepapers/storage
/securing-networked-storage-defense-in-depth_1132.
Capítulo 03 - Hardening de sistema

foi possível identificar o processo que estava fazendo isso. Segurança Assim como existe a necessidade de se criar uma linha de base de segurança. haverá uma perda de funcionalidade. que pode ser baixado gratuitamente via Internet.microsoft. também f az-se necessária a criação de uma linha de base de performance. O SCCM é recomendado pa ra ambientes com grande número de computadores por oferecer melhor interface de ge renciamento e maior flexibilidade na aplicação de atualizações.Realizar os testes de restrição das aplicações. Este tipo de configuração é chamado de Hardeni ng de Sistema e é utilizado para reduzir o vetor de ataque contra um sistema opera cional. Gerenciamento de atualizações Além do WSUS. a MS oferece o Syst em Center Configuration Manager (SCCM) com integração ao WSUS.Por que Manter o Sistema Atualizado? Assim. . Antes de iniciar um hardening de sistema em uma estação de trabalho é necessário criar u m perfil do usuário. inclusive computadores c orporativos que estejam fora do ambiente de rede. Caso seja feito um hardening muito restrito. O controle neste caso está relacionado a restringir a estação ou o servidor a oferecer apenas os serviços necessários para exec utar as tarefas as quais foi designado. acessando a empresa via Intern et. Isso pelo fato simples de que algumas vezes a p erformance de um sistema é comprometida devido ao mesmo estar com um rootkit ou u m malware que está desempenhando funções e causando este gargalo no serviço. através da ferramenta "Port Reporte r" (Maiores informações sobre esta ferramenta em http://support.com/kb/837 243). Restrição de Uso de Estações e Servidores O controle não necessariamente está completamente relacionado ao simples fato de per mitir o usuário fazer ou não o logon na máquina. Existem soluções similares d e mercado como Tivoli da IBM e o Open Manager da HP que também possuem capacidade de gerenciamento de atualizações para grandes empresas. . Performance vs. o que poderá ocasionar a infração de um dos pilares de segurança. Em termos gerais os seguintes pontos precisam ser endereçados antes de se realizar um hardening de uma estação ou servidor: * Estações: . Monitoramento de sistemas no que tange ao aspecto performance também pode ser cons iderado uma premissa de segurança.Mapear as portas e protocolos em uso pela estação * Obter uma imagem da estação e carregar esta imagem em ambiente de teste para: . ** Performance Através dos logs dos firewall foi possível identificar as estações que estavam causando esta tempestade de tráfego na rede e em seguida. das aplicações em uso e como elas funcionam. mas também de outros fabricantes de software. Além disso.Testar a funcionalidade das aplicações. um dos aspectos básicos de hardening nos sistemas é aplicação de atualizações de segu rança para que haja resistências a ataques. também oferece a possibilidade de entregar atualizações não apenas de apli cativos MS. que é o de disponibilidad e.

* Serviço de Transferência Inteligente de Segundo Plano (BITS): Responsável por fazer transferências de dados quando a rede estiver sem utilização e também.Fazer ajustes necessários para liberar mais ou restringir mais de acordo com os resultados dos testes. Riscos Impostos por Scripts Cross Site Scripting (XSS) O XSS é uma técnica de obter informações do usuário após este ser persuadido a entrar em um site com scripts que são executados no computador da vítima. assegure que a placa que cone cta a rede a qual o usuário faz autenticação ao servidor de domínio esteja localizada no topo da ordem. A maioria dos navegadores de internet possui execução de scripts habilitada por padrão .Www. Um dos mais conheci dos é o Common Criteria (CC .Caso o sistema operacional tenha múltiplas placas.Segurança de Aplicação Risco de Aplicações P2P O conceito geral de P2P é quando dois ou mais computadores se juntam a fim de comp artilhar recursos.org) que mantém informações sobre produtos certificados e preestabelecido nível de segurança. entre outros . Existem padrões disponíveis para avaliar a segurança dos sistemas. O Mozilla Firefox. este pode ser reiniciado sem que os dados sejam baixados totalmente. implementa um mecanismo chamado Política de Segura nça de Conteúdo (CPS.commoncriteriaportal. Técnicas Gerais de Hardening de Sistemas Operacionais * Configuração de Protocolo de Rede: . banda de red e. implemen tar e suportar um ambiente de rede seguro. Modelos de segurança Um modelo de segurança fornece o ponto de partida necessário para projetar. pois muitas das aplicações comerciais escritas atualmente são baseadas nesta metodol ogia de desenvolvimento. caso haja interru pção do dado a ser baixado.sem a necessidade de uma coordenação centralizada destes recursos.. tais como processamento. Capítulo 04 .Verifique a ordem de uso da placa de rede . Mau Uso das Aplicações .Content Secuiry Policy) com objetivo de validar o script sendo executado pelo usuário durante a navegação. Aplicativos como Windows Update utilizam o BITS. Criando uma Base de Segurança Para iniciar a ferramenta no Windows Server 2008 é necessário abrir o Gerenciador de Servidores e clicar no assistente de configuração de segurança. por exemplo. * Requerer Assinatura de Segurança SMB: A assinatura dos pacotes SMB causará impacto em até 15% de uso do processador do servidor. armazenamento de disco.

um grande motivo para a expansão e adoção de cookies por uma grande parte dos sites web que lidam com trasações é o fato do protocolo HTTP não ofere cer transações com controle de estado (transações HTTP são chamados de stateless transacti ons). P ara maiores informações acesse o blog do time de ferramentas para segurança da informação em http://blogs. Veja o artigo completo em http://blogs.com/technet/security/bulletin/MS04-028. * Integer Overflow: Este tipo ocorre quando um determinado tipo de dado (ou Regi strador CPU) deveria armazenar um valor dentro de um intervalo preestabelecido.msd n. Através do uso de cookies é possível criar sessões pe rsistentes e identificar o usuário que está fazendo tal transação. SQL Injection ** Mitigando SQL Injection Um procedimento para revisar os logs do IIS no intuito de checar se ouve tentati vas de ataques do tipo SQL Injection.microsoft.aspx Risco do Correio Eletrônico * Destinatário: Voce é realmente o destinatário do e-mail ou é uma lista? SMTP Relay Essa prática de utilizar um servidor de correio de eletrônico de terceiros para envi . * Heap Overflow: Ocorre quando um determinado dado é alocado fora do espaço que esta va definido para ser usado pelo heap. o que é crítico para um site de e-commerce que faz transações online com diversos clientes acessando ao mesmo tempo.A MS. através de um processo chamado Ciclo de Desenvolvimento Seguro (Security Dev elopment Lifecycle). como é o caso do Microsoft UAG (Unified Access Gateway). Vazamento de informações ** Segurança da Estação Remota Algumas aplicações.msdn.com/debuggingtoolbox/archive/2008/09/09/how-to-decipher-strings-originating-fr om-sql-injection-attacks. esta ferramenta também previne vazamento de informação. fornece um guia de modelagem de ameaças (Threat Modeling) que traz algumas dicas de como o processo de desenvolvimento seguro deve ocorrer. A vulnerabilidade exposta no Boletim MS04028 (http://www. permite q ue o ponto remoto sea escaneado mesmo que o acesso seja puramente via uma sessão w eb (via browser).aspx.com/securitytools/archive/2009/07/30/security-guindance-and -threat-modeling. Além disso. Buffer Overflow Existem vários tipos de buffer overflow.mspx) é um exempl o de heap overflow. Sites de Relacionamento O Problema existente hoje nas redes de relacionamento está voltado à liberação descontro lada de informações por parte do usuário. e entre eles os mais usados são: * Stack Overflow: Este é o clássico. porém ele é atribuído a um valor fora do intervalo em que deveria estar. Cookies Tecnologicamente falando.

http://technet. FreeBSD. Spoofing Enquanto o ataque TCP SYN acontece no nível de transporte.net.aspx para ganhar acesso total ao host de destino. Capítulo 05 . ond e para cada tipo de sessão seja gerada uma chave diferente. Ao executar tal comando uma sessão nula com contexto de sistema estaria aberta.sourceforge. Para desabilitar a funcionalidade de Null Session no windows voce precisa editar a chave de rgistro HKLM\System\Control\CurrentControlSet\LSA e adicionar o valo r RestrictAnonymous como 1. Para baixar essa ferram enta acesse http://arpon.microsoft.shtml que tem funções similares.Explorando Ameaças de Rede Riscos Inerentes do TCP/IP Ataque TCP SYN (SYN Flood) Em um ambiente Windows voce pode utilizar a chave de registro SynAttackProtect l ocalizada em HKLM\System\CurrentControlSet\Services\Tcpip\Parameters para habili tar a proteção contra ataque desta natureza. Main in the Middle Voce pode baixar a ferramenta "Paros Proxy" no link http://www. Capítulo 06 . Mac OS. Este tipo de ataque também é utilizado para envio de SPAM e. e com isso voce poderia usar ferramentas de execução remota (como o PSTools do Sysinternals . Para a plataforma Windows voce baixar o freeware PacketCreator http://www. Null Session O termo Null session refere-se à capacidade de acessar um recurso remoto de outro de host através de sessão nula (que não requer senha).org pa ra usar como MITM. pode também causasr problemas de performance no servidor de correio ou até a parada do mesmo.Componentes de Rede . Este tipo de ataque tem c omo finalidade mascarar o real destinatário (tendo em vista que a identidade do me smo será afetada ao servidor de terceiros) e usar o servidor de correio como fonte de envio de mensagens que podem portar conteúdo malicioso. o ataque Spoofing acont ece no nível de internet na arquitetura TCP/IP.com/get/Network-Tools/Network-Test ing/PacketCreator. Replay Uma das formas de mitigar tal tipo de ataque é através da criação de chaves de sessão.com/en-u s/sysinternals/bb896649.ar mensagens para outros domínios é chamada de SMTP Relay. pois haveria interrupção no serviço.parosproxy. Pro exemplo: No Windows 2000 um a das possibilidades que se tinha como padrão de instalação é a capacidade de abrir uma sessão remota usando o comando abaixo: net use \\IP_destino\ipc$ "" /user:"". ARP Poison Voce pode usar ferramentas como ArpON (para Linux. o tornaria o ataque m ais voltado para um DoS (Denial of Service). OpenBSD e Ne tBSD) para fazer inspeção MAC e simular este tipo de ataque. dependendo da quantidad e de mensagens enviadas ou na frequência do envio.softpedia.

No Wireshark o modo promíscuo vem h abilitado por padrão. VLAN Por definição. estas são criadas pela associação de portas físicas do switch para uma VLAN. podem também ver ificar através de um conjunto de políticas predefinidas se componentes de rede. como Network Admission Control da Cisco e Network Access Pr otection (NAP) da MS. Anel. ou seja. por exemplo. o administrator tem que manualmente configurar esta nova parte da VLA N inicialmente definida. Existem tecnologias. Com tais informações. Estrela. O MS Network Monitor. Dentre elas estão: desempenh o. Ambiente de rede é comum as empresas associarem um rede IP diretamente relacionada a uma VLAN específica. como uma estação de trabalho. definir num switch. Entre eles estão: * * * * Barramento. é necessária a ativação do modo promíscuo via propriedade do adaptador de rede. ** Capturas de Rede em Ambientes com Switch Dentre os monitores de rede podemos destacar o Network Monitor ou o Wireshark. switches não podem passar tráfego entre duas VLANs. gerenciamento. por padrão. As VLANs operam na camada de enlace e. e segurança. ou seja. uma vez conectado na switch.NAC). um procedimento importante é também configurar o software de monitor ação de rede para capturar tráfego redirecionado. pois isso estaria vio lando a integridade de um domínio de broadcast. a mbos acessíveis e gratuitos via Internet. uma VLAN chamada produção e outra restrita. endereçamentos de redes IP a tuam na camada de rede.Topologias de Rede Existem quatro tipos básicos de topologias de rede. assim. numa relação um para um. uma vez conectados na porta preestabelecidas como part e da VLAN. que além de autenticarem os componentes de rede. * VLAN Dinâmicas: A participação de componentes de rede. caso não estejam de acordo com a política. VLANs e subnets IP fornecem níveis independentes da camada OSI. Em resumo. por outo lado. apen as captura tráfegos direcionados para computador. é possível ter múltiplas redes IP em uma única VLAN ou ter uma rede IP distribuída sobre múltiplas VLANs. enquanto a primeir a atua na camada de enlace. a segunda atua na camada de rede. por exemplo seguem a política de segurança de possuírem as últimas atualizações de segurança ou se o software de antivírus está instalado e atualizado. Segmentação de Redes Existem vários motivos para que a rede seja segmentada. pode ter sua participação numa VLAN dinamicamente assinalda baseada em alguns fatore s tais como autenticação ou estado de saúde do componente de rede conectado. Entretanto. ambas derivadas do Controle de Acesso a Rede (Network Acce ss Control . VLANs podem ser de dois tipos: * VLANs estáticas: Estas também são conhecidas como VLANs baseadas em portas. Árvore. Adicionalmente. Podemos. Assim todo s os componentes de rede. a máquina pode ser dinamicame .

As duas formas são: . Entre ele s podemos citar: * Falso positivo: Sempre que um sistema de intrusão dispara um alarme falso consid eramos que houve uma ação do tipo falso positivo. se ocorrer uma vulnerabilidade em um dos firewalls.pl/files/ipsec/krawczyk_Intrusion_Detection_and_Preventio n_tree_2.Segurança de Rede Proxy ** Alguns servidores Proxy mais sofisticados também permitem fazer filtragem de co nteúdo e inspeção de tráfego no nível de aplicação. Ou seja. uma vez que. Com este breve conjunto de definições fiva claro que o IDS mais apropriado para uma rede é justamente aquele que tenha uma quantidade de falso negativo menor que a qu antidade de falso positivo . é melhor pecar por execesso que falhar e não a lertar que um ataque está sendo realizado.pdf para ver a árvore de classsificação de sistemas IDS e IPS de acordo com O pen Directory Project Dentro destas ramificações de HIDS e NIDS o funcionamento de um IDS como um todo pod e ser baseado em dois tipos principais: * Baseado em Comportamento: O IDS pode identificar que um tráfego é suspeito baseado em um determinado padrão de comportamento> Por exemplo: se houver uma tentativa s ucessiva de envios SYN em portas alternadas isso pode ser considerado um ataque do tipo scan de portas. portas e outras informações pertinentes à camada de aplicação batem com os dados residentes no banco de dados de assinatura.Intrusion Detection System) Apesar de alguns termos variarem de fabricante para fabricante existe uma série de terminalogias padrões que são utilizadas em um sistema de detecção de intrusão. causa ndo um alerta do tipo falso positivo. ela seria mitigado pelo outro.nte assinalada como membro da VLAN restrita. protocolos. DMZ Há algumas recomendações de segurança para que sejam utilizados Firewals de fabricantes diferentes. Tipos de IDS ** Acesse http://ipsec. * Baseado em Assinatura: Em um sistema baseado em asssinaturas o IDS tem uma bas e de dados local que é usada para analisar o tráfego e verificar se os padrões de aces so. O MS Forefront Threat Management Gateway 010 é um exemplo de um Firewall que também faz papel de Proxy inteligente que tem ca racterísticas de filtragem de conteúdo. Outros Componentes Sistema de Detecção de Intrusão (IDS . Honeypot É importante lembrar que na área de segurança existem duas formas básicas de lidar com o uso de tecnologias semelhantes ao honeypot. * Falso negativo: Acontece quando um sistema de intrusão falha na detecção de um ataqu e legítimo * Noise: Um dado que foi interpretado pelo sistema de detecção como um ataque. Capítulo 07 .

mas o grande problema com este dese nvolvimento disperso de tecnologias é justamente o fator integração. Note que este método deve ser feito por um agente gorvenamental. para ambiente Windows. que é um sistema único de gerenciamento de ameaças. o único tipo de conta que deve ser excluído da po lítica de senhas são as chamadas contas de serviço. como. se o usuário terá acesso de leitura ou de escrita. Capítulo 08 .Vulnerabilidade de rede Conceito de Token de Acesso Há um utilitário no windows chamado "WHOAMI. O nome do grupo em si não está armazenado no sistema de arquivos. O Windows Server 2008 R2 oferece um recurso chamado conta de serviço gerenciada. mas normalmente bnos referimo s ao ticket quando uma determinada máquina tenta acessar um recurso de rede como u m servidor de banco de dados. o nde o sistema operacional gerencia a troca de senhas que ocorre de forma automátic a sem intervenção do administrador que por sua vez não terá acesso à senha. Uso da Conta Padrão . Isto porque o grupo pode ser renomeado. que quando o Firew all perceber uma ameaça vindo de dentro da rede que ele sinalize para um sistema d e monitoramento interno para que o mesmo possa disparar uma ação para o software de antivírus e com isso iniciar um processo de scan da máquina que tentou explorar uma certa vulnerabilidade. apenas o SID é armaz enado. * Entrapment (método de armadilha) Este método é utilizado por agentes governamentais para induzir um atacante a cometer um crime virtual. Outro ponto po sitivo deste recurso é que elimina a necessidade destas contas possuírem privilégio ad ministrativo. Por exemplo: um anúnci o que liga determinado link oferece a chance de efetuar download de um determina do software de forma gratuita. O Token às vezes pode ser referido como ticket também. Políticas de Senha Atualmente. Esta ACL também dete rminará o tipo de acesso. se realizado por pessoa física. Tais conta são amplamente utilizados por aplicativos tais como SQL e SharePoint. Quando o usuário faz acesso aos dados do d isco. o sistema compara o SID do token com o SID previamente especificado no sis tema de arquivos através da lista de controle de acesso ou ACL. pois.* Enticement (método de sedução de uso): Neste método voce atrai o atacante para explora r possíveis vulnerabilidades da sua rede através de método legal. Windows 7 e pode ser obtido via Support Tools para windows XP) que mostra exatamente como é o Token do usuário durante o logon. O usuário uma vez autenticado vai ter no seu Token as informações do SID do seu usuário e de todos os grupos que ele faz parte. Este conceito é chamado de UTM (Unified Threat Management). Análise de Protocolo ** O Paradigma do UTM Todos os componentes de segurança trabalhem de forma sinergética. Diversos fabricantes de software estão desenvolvendo suas soluções isoladas de UTM. mas o SID continua o mesmo.exe (Parte do Windows Vista. pode aca rretar danos legais conta a pessoa que preparou essa armadilha. por exemplo.

onde é repassado o SID e o nome da conta é retornado.exe. caso se descubra a senha fraca de usuário comum. pois sistemas por padrão permitiam a enumeração de contas via sessão nula além de não ter outras opções de segurança agora disponíveis para Windows XP e superior. fazer com que o s usuários conectem o ponto de acesso sem fio e a partir dele capturem o tráfego do usuário ou tentem persuadi-lo a realizar alguma tarefa. mas muitas pessoas que são vítima s dele não sabem o que se passa. mas se o celular permite o suporte de mensagens com multimídia será possível também receber imagens e sons.exe. um dos mais populares sendo o NetStumber para o Windows XP. ** Conta do Administrador Renomeada No windows NT e 2000. enumerar a conta do administrador mesmo renomeada era muit o simples. sem exigir senha ou criptografia. Normalmente. ou seja. Bluejacking Assim como recebemos mensagens não solicitadas via correio eletrônico.1n: É um padrão bem recente e que permite bandas de até 300 Mbps e opera com fre quencia de 5 GHz. que enumera o usuário e exibe o SID. Pontos de Acesso Não Autorizados ( Rogue Access Point) Rogue Access Point é um roteador ou ponto de acesso sem fio que é instalado numa red e corporativa sem autorização explícita do administrador de rede.1x disponibiliza os seguintes protocolos: * 802. como acessar seu banco pe ssoal via internet e capturar dados privilegiados. pois a proteção já está habilitada por padrão. Capítulo 09 . A razão para a necessidade de uma conta de usuário é porque o usuário não funcionará a parti r do Windows XP. Em muitos casos Bluejacking não causa danos. . Ataques a uma Rede sem Fio Wardriving Existem softwares também que facilitam nesta procura. tais mensagens também podem ser recebidas através de Bluetooth via protocol o OBEX. o Bluejacking envia apenas mensagens de texto. ou foi propositalmen te colocado de maneira a facilitar o acesso de usuários por meio de baixa segurança. Es tes softwares fazem a varredura enumerando todas as redes sem fio que estão no alc ance da antena wireless. Assim. o Kismet ou SWScanner para Unix ou Macintosh. conhecidas co mo SPAM. pode ser utilizado o utilitário chamado dumpinfo. Como o convidado e administrador tem sempre o mesmo SID e este permanece idêntico até mesmo quando a conta é renomeada. sendo utilizado por usuários maliciosos como at rativo e assim conduzir ataques de "Man-in-the-middle".Existem também ferramentas na Internet que podem fazer com que o atacante descubra facilmente os nomes das contas padrões pelo quais foram renomeadas. e o sid2user. Para isso basta utilizar dois utilitários disponíveis na internet chamados user2-sid .Segurança de Redes Sem Fio Protocolos O IEEE 802.exe p ara que se possa saber qual o administrador atual da máquina. utilizando um a técnica de conversão de SID para ser retornado o usuário. e podem pensar que o aparelho não esteja funcionand o corretamente.

1 i. é voltad a para empresas que necessitam de um acesso mais granular. DAC O Modelo DAC ( Discretionary Access Control) ou Controle de Acesso Discrecionário é um modelo mais flexível do ponto de vista do usuário que deseja compartilhar recurso . Modelo Biba Neste modelo o usuário (também chamado de subject ou sujeito) pode ter um acesso de escrita a uma informação que tenha o nível de classifcação mais alto do que o nível de permi ssão do usuário e também não pode ler em uma informação que tenha o nível de classificação in r ao nível de permissão do usuário.Controle de Acesso Introdução um problema muito comum que causa esta área tão crítica é o acúmulo errado de privi Modelo de Controle de Acesso Existem diversos modelos de controle de acesso. dos protocolos de segurança. A primeira chamada Personal é voltada para usuários domésticos. mais tarde foi demonstrado em teste que o WPA poderia ser suscetível ao memos problemas do WEP. chamada Enterprise. * Information Flow e * Noninterference Modelo Bell La-Padula Um usuário não pode ter um acesso de leitura a uma informação que tenha nível de classific ação mais alto que o nível de permissão do usuário e também não pode escrever uma informação enha nível de classsificação inferior ao nível de permissão do usuário. * Clark-wilson. é configura do um servidor RADIUS para que o equipamento de acesso remoto possa enviar as cr edenciais da máquina ou do usuário. Existem diferentes formas de autenticação. Capítulo 10 . * Biba. Neste caso. onde uma vez configurada a segurança é necessário digitar uma senha d e acesso ao se conectar na rede sem fio. O WPA utiliza algoritmo de criptografia para troca de chaves chamado TKIP. qu e assegura que cada pacote transmitido tenha uma chave de criptografia. A segunda opção. entretan to. eles estão definidos dentro da especificação 802. porém os mais comuns são: * Bell La-Padula.A forma com que as empresas podem evitar o uso de pontos de acesso não autorizados é através da implementação de sistemas de prevenção a Intrusos (IDS). ainda que de maneira mais sofisticada para que fosse possível fa zer a quebra da criptografia. Controle de Acesso O controle de acesso é a forma com que uma empresa vai controlar o uso de recursos de uma forma geral. seja ela em forma de senha ou certificado digita l. MAC O tipo MAC (Mandatory Access Control) ou controle de Acesso Mandatório é um modelo o nde administrador do sistema é responsável por atribuir as devidas permissões para os usuários. Proteção do Tráfego em redes Sem Fio No caso.

Role-Based Access Control) o admi nistrador do sistema garante privilégios de acordo com a função exercida pelo usuário. Teste de Vulnerabilidade . O processo de levantar tais dados e avaliar o resultado para cada um deles é conhe cido como BIA (Bussiness Impact Analysis) ou Análise de Impacto no Negócio.Controle de Risco e Monitoração do Ambiente Entendendo o Impacto no Negócio O Impacto no negócio não está diretamente preocupado com as ameaças ou com as vulnerabil idades. O controle usado pelo sistema operacional windows é baseado em DAC. Análise de Risco Algumas vezes a adoção de medidas para mitigar uma possível ameaça é tão alta que não vale a ena implementar tal mitigação.Segurança Física Capítulo 12 .Acsess Co ntrol Entry).s para outros usuários. roteadores e switches de rede. e neste caso a solução é conviver com risco. Por exemplo: qual a probabilid ade de nos meses de janeiro a marça haver chuvas na região do Rio de Janeiro e isso afetar a infraestrutura ao redor da empresa? É através de respostas de tais pergunta s que é possível chegar a um valor para o ARO. Controle Baseado em Regras O Controle de Acesso Baseado em Regra (RBAC . e qual é o impacto que determinado evento terá na empresa no que diz respeito a perdas (tangíveis e intangíveis). por exemplo. como. Este método envo lve a revisão de dados históricos acerca de tal ameaça. Na realidade o impacto do negócio preocupa-se com a perda que a empresa te rá em um determinado cenário. Controle baseado em Cargo No Controle de Acesso Baseado em Cargo (RBAC . Controle Lógico Um determinado objeto tem vinculado a ele uma tabela de controle de acesso onde cada entrada na tabela é chamada de entrada no controle de acesso (ACE .Rule-Based Access Control) é mais vo ltado a regras de dispositivos de rede. Separação de Tarefas A separação de tarefas é uma das políticas mais empregada em bancos e instituições financeir as como uma boa política de segurança. Neste modelo o usuário tem controle de garantir privilégios de acesso a recursos ao que estão sob seu poder. O Administrador do sistema precisa ter um cuidado adicional quando este modelo é empregado pois os usuários podem dar m ais permissões do que deveriam e com isso abrirem brechas que podem ser exploradas por usuários maliciosos. Este modelo é baseado em regras que permitem que usuários possam acessar o u não determinados recursos. Mensurando o Risco Uma forma de mensurar a taxa de ocorrência de um determinado evento (ameaça) é chamada de ARO (Annualized Rate Of Ocurrence) ou Taxa de ocorrência Anual. Capítulo 11 .

Analisador de protocolos. Estabelecendo uma Linha de Base Existe uma ferramenta que permite a automatização da análise de desempenho em um ambie nte windows. sendo elas : * Baseado no comportamento: Software de monitoramento que se baseiam no comporta mento normal de um determinado ambiente. Scan de vulnerabilidades. recebendo muitas tentativas de scan de portas. Mapeamento de Rede Uma vulnerabilidade comum reportada neste tipo de mapeamento é o uso aberto e anônim o da comunidade SNMP chamada public. uma ferramenta livre q ue pode ser obtida em http://pal. Mapeamento de rede. * Baseado em assinatura: Os softwares de monitoramento baseados em assinatura pr ocuram um determinado padrão de bits dentro de um pacote que porventura tenha equi valência com a mesma sequência encontrada no banco de dados de assinatura. * Baseado em anomalia: software de monitoramento que se baseiam no comportamento normal de um determinado protocolo.com. por exemplo. um sistema de monitoramento qu e observa um servidor web através do correto funcionamento do protcolo HTTP.codeplex. Trata-se do Performance Analisys logs (PAL). Por exemplo. Neste tipo de monitaramento é observado s e o sistema está passando por algum tipo de comportamento não esperado. Entendendo o Tráfego da sua Rede É importante salientar que em ambientes grandes que tenham redes separadas por dis positivos de nível 3 (como roteadores e switches nível 3) o uso de ferramentas como Network monitor ou Wireshark precisa ser realizado por segmento. Quebra de senha. tendo em vista que não há propagação de broadcast entre segmentos de nível 3. Caso exis ta esta equivalência o software de monitoramento dispara um alerta acerca deste tráf ego. Testes usando o padrão OVAL(Open Vulnerability and Assessment Language) Quebra de Senha Existem dois tipos básicos de quebra de senha: * Dicionário de ataque: neste método o software usa um dicionário de palavras conhecid as que está pré-compilado e tentar advinhar a senha baseado nos testes. * Ataque de Força Bruta: neste método o software vai tentar todas as combinações possíveis de caracteres para tentar quebrar a senha.Os testes geralmente variam dentro das seguintes categorias: * * * * * * Scan de portas. Auditoria . Outros Métodos de Monitoração do Ambiente Estes métodos podem ser também categorizados pela forma de funcionamento.

Capítulo 13 .aspx. * Uso indevido do sistema.msdn. principalmente em processador. Auditoria de Padrões Na área de segurança da informação os padrões ISO mais relevantes são o 17799 (ver http://ww w.aspx. que tem como objetivo ocultar a existênci a de uma mensagem dentro da outra ou de uma imagem. Este artigo pode ser obtido em http://blog s.html.tech net. um usuário que acident almente exclui um arquivo que não deveria ser excluído. um usuário tentando acessar uma pasta a qu e não tem acesso.htm?csnumber=39612) e o padrão ISO/IEC 14443-1. Um software livre que pode fazer uso deste tipo de criptografia é o QuickStego.org/iso/iso_catalogue/catalogue_tc/catalogue_detail. Por isso. No principal ponto a ser levado em conta é o desempenho do sistema.iso. Quando se habi lita auditoria em vários objetos há um impacto direto em uso de recursos do sistema.aspx. porém com ações indevidas.technet. Auditoria de serviços Como auditar uma zona DNS no windows. Criptografia Física Há também outro método chamado esteganografia. Pa ra maiores informações veja http://quickcrypto. um usuário que todos os dias fica além do horário do expediente acessando arquivos que não fazem parte da função em que ele trabalha. Servidor WEB ** Técnica de investigação de logs do IIS para identificar possíveis explorações de vulnerab ilidade do tipo "SQL Injection".com/free-steganography-software. Por exemplo. Por exemplo.com/b/latam/archive/206/09/08/454939.Prós e contras de Auditoria de sistemas O Principal benefício da auditoria de sistemas é a capacidade de auxiliar na identif icação de: * Possíveis brechas no sistema.Conceitos de criptografia Introdução A criptografia pode ser dividida em três categorias: física. Por exemplo. * Uso regular do sistema. hashing é um process o de verificação de integridade. matemática ou quântica. Maiores informações ver http://blogs. DNS ** como habilitar auditoria em um DNS em plataforma windows em http://blogs. um usuário tentando fazer uso de uma mo dificação maliciosa na zona DNS da rede.com/b/deb uggingtoolbox/archive/2008/09/09/how-to-decipher-strings-originating-from-sql-in jection-attacks. ou seja. Criptografia Matemática O processo de hashing também é apenas conhecido como de "mão única". * Atividades Suspeitas. .com/b/latam/archive/2006/09/08/auditando-uma-zona-dns. o resultad o produzido por ele não pode ser convertido de volta. Por exemplo.

O wind ows Vista e Windows 7 utilizam este chip para armazenar as chaves da funcionalid ade chamada Bitlocker para criptografia em disco. tanto faz no windows 98 vo ce digitar PASSWORD ou password. ou seja. a senha vai ser sensível ao caso. Os sistemas operacionais Windows Vista e Windows server 2008 e superior possuem hash de armazenamento de senhas LM desabilitado por padrão. é utilizado para manter competividade com sistemas operacionais legados como os s istemas windows 95 e 98. O primeiro. entretanto. IDEA (International Data Encryption Algorithm).Algoritmos de Criptografia Hashing O processo de hashing não envolve confidencialidade. O processo de hashing também é utilizado por mecanismos TPM (Trusted Plataform Modul e) que está cada vez mais popular hoje nos computadores corporativos. temos as técnicas de bl oco de dados (cipher block) ou fluxo de dados (stream cipher). especificamente algum a unidade de medida. como no sistema Windows Server 2003 a preferência é sempre pelo hash do NTLM. Criptografia Simétrica Outro ponto relevante é que normalmente os algoritmos de chaves simétricas podem uti lizar diferentes técnicas de cifragem dos dados. Esta referência aqui é sobre hash de armazenamento e não deve ser confundido com o pro tocolo de autenticação LM. por exemplo. O método LM utiliza o algoritmo das seguintes formas: * Tamanho máximo é de 14 caracteres * A senha utiliza caracteres ASCII sendo convertida para maiúsculas * A senha é dividida em duas partes de 7 bytes * Cada parte de 7 bytes gera chaves via algoritmo de cifragem DES incluindo um b it nulo para cada sete bits formando 64 bits necessários para uma chave DES. senhas e certific ados digitais. a cifragem a cada 64 KB de dados. Criptografia Assimétrica * RSA: É um algoritmo que trabalha tanto para realizar cifragem bem como para prod uzir hashes. É utilizado por várias aplicações de criptografia como SSL (Secure Sockets . XP e 2003 é necessário desabilitá-lo para garantir que apenas o NTLM esteja sendo utilizado no armazenamento de senhas. Nos sistemas operacion ais Windows 2000. O de f luxo de dados funciona a cada bit. e voce especificar a senha passworD. um Windows 98 no Active Directory do Windows 2003. Entre elas. TPM é um nome associado a um chip que pode armazenar chaves de criptografia. byte ou tempo. Por exemplo. NTLM(v1 e v2). em ambientes com domín io Active Directory o protocolo de autenticação utilizado é o Kerberos mas a senha é arm azenada localmente no sistema nos formatos LM e NTLM. Se voce possuir. Assim se o sistema operacionalutiliza apenas o hash LM ele não faz distinção das maiúscu las e minúsculas. O primeiro funcio na com conjuntos de dados. por exemplo. chamado de Lan Manager ou LM. TPM pode ser utilizado para criptografar um disco inteiro. atualmente está incorporado no sis tema público de chaves PGP (Pretty Good Privacy). que é muito utilizado em sistemas de e-mail. ** Diferenças Entre Lan Manager (LM) e NTLM no armazenamento de Senhas Os sistemas operacionais Windows NT e superior podemos realizar o armazenamento das senhas do usuários em dois formatos.Kerberos.

utiliza o Diffie-Hellm an no processo de troca de chaves. É largamento utilizado por aparelhos móve is ou similares que possuem processadores que requerem baixo consumo de energia. Tal premissa também pode ser alc ançada com o uso de assinatura digital em uma estrutura PKI.RA Uma RA não vai emitir certificado. U certificado para ser usado em um e-mail não é o mesmo tipo de certifcado para usar em servidor web. Cada certificado é criado a partir de um modelo e este modelo def ine o propósito do certificado. Autoridade Registradora . Non Reputation Se envio um e-mail assinado digitalmente com meu certificado. Assinatura Digital Assim podemos afirmar que o processo de Assinatura Digital nada mais é do que o pr ocesso de integridade mais o de non repudiation juntos. Este algoritmo não é utilizado para cifrar ou dec ifrar mensagens mas meramente proteger troca de chaves durante um processo de co municação seguro.Entendendo Certificação Digital Introdução A implementação de uma Infraestrutura de Chave Pública permite que a empresa alcance o s seguintes pilares: * Confidencialidade: Premissa alcançada com a criptografia dos dados em trânsito e t ambém pelo armazenamento dos mesmos usando a estrutura de PKI. Sistemas de criptografia sistemas de criptografia existem para fornecer confidencialidade.Layer) e TLS (Transport Layer Security). * Não-repúdio (Non Repudiation): Premissa que requer a garantia de quem executou a t ransação não pode negar que foi ele mesmo que executou. por exemplo. Política de Certificados É através de uma política de certificado que é possível saber qual a função do certificado. a autenticidade do remetente é comprovada pelo certificado digital do mesmo anexado à mensagem. non repudiatio n e controle de acesso. * Diffie-Hellman: O protocolo de VPN IPSec. Autoridade Certificadora Raiz . * Criptografia de Curva Elíptica (ECC): É um algoritmo que possui uma alta eficiência por não exigir muito poder de processamento. Ele utiliza um conceito de criptografia usando pontos de curva para definir um par de chaves pública e privada. * Integridade: Premissa alcançada com o conceito de assinatura digital que também po dem ser implementado com usode PKI. sendo um processo matemático bem menos intensivo se comparado a outros como RSA. porém poderá: distribuir chaves. aceitar novos regi stros de pedidos de certificado e validar requisições de verificação de certificado. Capítulo 14 .

Para o certificado aparac er como válido perante o sistema operacional é necessário que toda a cadeia de CAs sej a confiável. se um disco falhar. Modelos de Distribuição de Entidades Certificadoras Para melhor adequar a infraestrutura PKI para essa grande audiência existem modelo s diferentes de confiança de CA. a última entidade da cadeia. Em outras palavras: se o cliente só confiar no prime ro nível de certificação. E stes modelos permitem uma melhor granulação de controle e redução de carga em um único CA. e assim por diante. caso exista um ponto de falha. Quando isso acontece a terminologia muda de espelhamento de discod para duplexação d .0/migration/html/install. fazendo com que o sistema operacional se abstraia do que está ocrrendo e com isso não se precise disperdiçar ciclos de CPU para fazer tal controle. e neste caso o foco é performance. este poderá compromoter todo massivo investimen to feito no restante da infraestrutura. em outras palavra s. Os modelos são: hierárquico.redhat.Múltiplos níveis significa dizer que o cliente que recebe este certificado só vai cons iderar este certificado válido se ele confiar em toda corrente de entidades certif icadoras (Certificate Chain).com/docs/manuals/cert-syst em/8.html Capítulo 15 . misto e híbrido. RAID 0 Este é o único tipo de RAID onde a tolerância contra a falhas não é o foco.Planejamento de Operação Contínua Redundância O processo de tansferência dos recursos entre nó ativo e ná passivo é chamado de "fail o ver". o certificado não aparecerá como válido. bridge. po is. Implementação PKI * Implementação de PKI no Linux RedHat: http://www. Uma tolerância contra falhas em todos os componentes que estão conectados. uma entidade certificadora responsável por emitir certificados para os dispositivos finais. Tolerância Tolerância contra falhas deve se aplicada em múltiplas camadas. quando o nó que falhou é restaurado o processo de retorno dos serviços para ele é chamado de "fail back". Quand o uma empresa investe em tolerância contra falhas é preciso cobrir toda comunicação. Vetor de Disco A vantagem de implementar via hardware é que todo processo de gerenciamento do RAI D fica a cargo do hardware. ou seja. os discos manterão o serviço disponível. RAID 1 Neste tipo de RAID há um incremento também na performance de leitura dos dados. É impo rtante salientar também que a performance de uma forma geral pode ser melhorada ca so duas controladoras de disco diferentes sejam utilizadas (1 para cada disco). Hierárquico É chamada de Leaf CA (também conhecido como Issuing CA).

esta mesma fica localizada em uma caixa contra incêndio (fireproof) e de acesso restrito. Tipos de backup Para controlar os arquivos que foram copiados o sistema operacional usa um método de alteração da propriedade do arquivo. significa dizer que não houve alteração no arquivo desde o úl timo backup. Aparentemente é semelhante ao Incremental. ele permanecerá como um. quando há copia de backup na mesma premissa que a informação. terça e quarta. Este tipo de backup usa m ais espaço na unidade de armazenamento. No final da execução do trabalho de armazename nto. Por exemplo: digamos que o backup completo foi feito na segund a-feira na terça apenas os arquivos alterados durante a segunda-feira e terça-feira irão ser armazenados. disco etc). caso ela esteja marcada (bit configurado para 1). ou seja. e um backup diferencial f oi feito feito na terça-feira e na quarta-feira. com isso é preciso fazer o backup do mesmo novamente. este tipo de backup vai manter o bit de armazenamento do arquivo. Recuperação Contra Desastres Backup Os tipos de armazenamento de backup são: * Shadow Copy: Trata-se de um método rápido de recuperação de dados. que parte do pressuposto de que todas as informações disponíveis em quaisquer dos si stemas da rede deve conter uma cópia de backup por tempo indeterminado. * Copia fora da Localidade (Offisite Copy): Neste tipo a cópia está localizada fora das dependências de onde a informação está armazenada. Caso o bit esteja desmarcado (bit configurado para 0). Os tipos de backup disponíveis são: * Completo (Full Backup): Como o nome diz este é um backup que vai copiar todos os arquivos de um disco para uma unidade de armazenamento (fita. o software de backup veri fica a propriedade deste arquivo. * Incremental: Trata-se de um backup baseado no último backup completo. A propriedade alterada é chamada de "bit de ar mazenamento" (archive bit). será armazenado na unidade de backu p o mesmo arquivo com a versão de segunda. Alguns servidores já ativam a funcionalidade de shado w copy no disco no qual os dados estão sendo armazenados.e discos (disk duplexing). o bit de armazenamento é novamente desliga do (0). a penas dados que foram alterados desde o último backup (bit de armazenamento 1) é que serão armazenados. ou seja. ou seja. Duran te o processo de backup completa o bit de armazenamento que será desmarcado (0). se estava como (1). disco ou outro) e tal meio está localizado na mesma localidade em q ue a informação está localizada. * Diferencial: O backup diferencial vai fazer o armazenamentode todos os dados a lterados desde o último backup completo. onde a cópia está dispo nível quase que imediatamente. o que significa dizer que o arquivo foi alterado desde a última cópia do mesmo. * Cópia na Localidade (Onsite Copy): Neste tipo temos a cópia armazenada em algum me io físico (fita. Ao final do backup. Planejamento de Backup Outro método de backup é o chamado de Armazenamento Completo ( Full Archival Method) . Quando o backup é executado. Geralmente. porém a diferença é que o backup diferencial vai guardar informações de todos os dias. se o backup completo foi feito na segunda-feira. Em outras .

Quando incidente é reportado. na avaliação do incidente do ponto de vista de custo e danos causados. procedimentos. também chamada de "damage and loss control". Gerenciamento BCP A sigla BCP vem de Business Continuity Planning ( Planejamento da Continuidade d o Negócio) que engloba tudo que vimos até o momento e mais gerenciamento de serviços d e terceiros. Plano para Resposta a Incidentes Seguem abaixo algumas das atribuições mais comuns para um time de incidente: * Manter uma base de dados de incidentes de forma que todo e qualquer evento sej a catalogado e devidamente documentado. Um exemplo de SLA interna é quando um usuário liga para o Help-Desk abrindo um chama do de suporte. * Revisar logs de sistemas com foco em auditoria e fazer eventuais testes de pen etração com fins de validar a segurança do sistema em questão. por exmplo.palavras: este método afirma que todas as cópias incrementais ou completas devem ser armazenadas de forma permanente. pois as vezes o investimento em software. As empresas geralmente determinam o nível de criticidade do caso at ravés de um ranking. o que denomina-s e de "First responder" Outro ponto crítico da resposta para incidentes está na penúltima fase do diagrama.Preparando a Empresa Para Lidar com Aspectos de segurança da Informação Trabalhando em conjunto com o RH Um dos pontos mais fracos em uma cadeia de segurança é o ser humano. Cada severidade tem uma SLA própria. como. hardware e tudo mais é altíssim o. Políticas de resposta para Incidentes A palavra incidente é muito abrangente e. também chamado de método de servidor de backup. devido à forma pela qual tal palavra pode ser interpretada como referenciar a incidentes como um evento que vai de encontr o às políticas de segurança estabelecidas na empresa. mas o ser humano está vulnerável a ser enganado. CApítulo 16 . . severidade A (Alta). B (Média) ou C (Baixa). processos. O método mais comum hoje em dia é o uso de agentes de backup instalados em servidore s e a concentração do gerenciamento de backup em servidor dedicado. o indivíduo que revir a chamada que foi aberta precisa assegurar que tal incidente é de fato real ou um falso positivo.