Índice

Capítulo 2: Ameaças à Segurança Empresarial ...................................................................................26

Ameaças à segurança da informação que evoluem..............................................................................26
Princípios aprendidos com experiências anteriores .................................................................29
Ameaças contínuas a ativos e recursos ................................................................................................29
Ameaça de furto de informação...............................................................................................30
Ataques ao sistema.......................................................................................................30
Ataques criptográficos .................................................................................................32
Ameaça de desconexão e destruição........................................................................................35
Ataques de DoS............................................................................................................35
Abuso interno e backdoors ..........................................................................................38
Negando serviços por imitação (spoofing) de domínio ...............................................39
Vírus.............................................................................................................................41
Formas adicionais de malware.....................................................................................44
Spam.............................................................................................................................45
O estado do malware e a implicação para a gestão da segurança............................................45
O novo campo de atuação do malware ................................................................................................45
Características das ameaças combinadas .................................................................................46
Exemplo detalhado de uma ameaça combinada ......................................................................46
Phishing (seqüestro) e ameaças à integridade da marca......................................................................48
Gerindo ameaças..................................................................................................................................50
Sistemas antivírus e de detecção de invasão (IDSs) ................................................................50
Filtragem de Conteúdo.............................................................................................................51
Gerindo salvaguardas contra ameaças .................................................................................................51
Melhores práticas para controlar o impacto da ameaça ...........................................................51
Mantenha o software antivírus atualizado ...................................................................52
Filtre conteúdo inapropriado........................................................................................52
Configure firewalls ......................................................................................................52
Utilize prevenção de invasão .......................................................................................53
Desenvolva, mantenha e fiscalize políticas de segurança............................................53
Resposta integrada ...............................................................................................................................53
Resumo ................................................................................................................................................54

i
 Declaração de direitos autorais

Declaração de direitos autorais

© 2006 Realtimepublishers.com, Inc. Todos os direitos reservados. Este website contém
materiais que foram criados, desenvolvidos e consignados, e publicados com a
permissão da Realtimepublishers.com, Inc. (os “Materiais”), e este site e todos esses
materiais estão protegidos por leis internacionais de direitos autorais e marcas
comerciais.
OS MATERIAIS SÃO DISPONIBILIZADOS "CONFORME SE ENCONTRAM", SEM
GARANTIA DE QUALQUER ESPÉCIE, SEJA EXPRESSA OU IMPLÍCITA, INCLUINDO,
SEM LIMITAÇÃO, AS GARANTIAS IMPLÍCITAS DE UTILIZAÇÃO, ADEQUAÇÃO PARA
UMA FINALIDADE EM PARTICULAR, TITULARIDADE OU NÃO INFRAÇÃO. Os
Materiais estão sujeitos a alteração sem aviso prévio e não representam um
compromisso por parte da Realtimepublishers.com, Inc. ou dos patrocinadores de seu
website. Em nenhuma eventualidade a Realtimepublishers.com, Inc. ou os
patrocinadores de seu website serão responsabilizados por erros técnicos ou editoriais
ou omissões contidas nos materiais, incluindo, sem limitação, quaisquer danos diretos,
indiretos, incidentes, especiais, exemplares ou conseqüentes, quaisquer que sejam,
resultantes do uso de qualquer informação contida nos Materiais.
Os Materiais (incluindo, sem limitação, textos, imagens, áudio e/ ou vídeo) não podem
ser copiados, reproduzidos, republicados, carregados, postados, transmitidos ou
distribuídos de nenhum modo, no todo ou em parte, exceto se uma cópia for baixada
para seu uso pessoal e não comercial em um único computador. Com relação a esse
uso, você não poderá modificar ou apagar qualquer aviso de direitos autorais ou de outra
propriedade.
Os Materiais poderão conter marcas comerciais, marcas de serviço e logotipos que são
de propriedade de terceiros. Você não tem permissão para usar essas marcas
comerciais, marcas de serviço ou logotipos sem prévio consentimento por escrito desses
terceiros.
Realtimepublishers.com e o logotipo da Realtimepublishers são registrados na Agência
de Marcas e Patentes dos EUA. Todos os outros nomes de produto ou serviço são de
propriedade de seus respectivos donos.
Se você tiver quaisquer dúvidas sobre esses termos, ou se você quiser informações
sobre materiais de licenciamento da Realtimepublishers.com, por favor entre em contato
conosco pelo email info@realtimepublishers.com

ii
 Capítulo 2

Capítulo 2: Ameaças à Segurança Empresarial

As ameaças que têm surgido ao longo dos anos têm seguido um padrão semelhante: Os
atacantes encontram uma maneira de violar um sistema para ganhar acesso a ativos de
informações valiosos; em resposta, os administradores de sistemas e profissionais de segurança
desenvolvem métodos de detecção e prevenção; os atacantes então encontram novas maneiras de
violar sistemas e evitar detecção; e os administradores de sistemas e profissionais de segurança
outra vez desenvolvem novos métodos de detecção e prevenção; e assim vai.
Com os ataques se tornando mais agressivos, mais rápidos e com muitas pontas, há uma ênfase
crescente em ativos consistentes, medidas preventivas e gestão da segurança da informação. Não
mais um ataque transmite um único vírus, mas freqüentemente, assaltos muito bem-pensados
estão sendo implementados. Simultaneamente, as organizações estão expondo mais sistemas que
estão efetivamente dissolvendo as fronteiras entre o que têm sido consideradas ameaças internas
e externas. Além disso, a necessidade dos grupos de TI encontrarem novas maneiras de fazer
mais com menos está descobrindo modos de reutilizar infra-estrutura de mainframe legada. Esta
reciclagem te, por sua vez, exposto mais os recursos de TI, tais como mainframes, que até
recentemente vinham sendo considerados muito seguros, aos mesmos desafios enfrentados pelos
sistemas distribuídos.
Para entender realmente o ambiente de segurança atual, devemos explorar as experiências
passadas que nos trouxeram até aqui. Vamos construir sobre esta fundação conforme exploramos
as ameaças contínuas a recursos e ativos, enquanto lançamos a base para uma discussão sobre as
ameaças emergentes.

Ameaças à segurança da informação que evoluem

Considere exemplos das antigas ameaças à segurança. Quando os atacantes invadiam sistemas de
computador, eles inevitavelmente deixavam traços de suas atividades. Os administradores de
sistemas podiam utilizar utilidades do sistema operacional (OS) para detectar a violação, e assim
os hackers respondiam com versões "cavalo de ´Tróia" daquelas utilidades para mascarar o
comportamento dos atacantes. Em resposta, os administradores de sistemas usavam técnicas
mais sofisticadas, tais como arquivos de pesquisa binários para indicar cadeias de invasão. A
Figura 2.1 mostra a evolução das antigas violações em sistemas UNIX.

26
 Capítulo 2

Atacantes
Violam SO

Administradores
Usam Utilitários
do SO para
Detectar Violação

Atacantes
Desenvolvem
Cavalos de Tróia
para Substituir
Utilitários do SO Administradores Usam
Outros Utilitários do SO
para Detectar Violação e
Procurar Cavalos de
Tróia e Arquivos de
Configuração

Figura 2.1: As ameaças e salvaguardas evoluem em resposta umas às outras.

Os administradores de sistemas, na teoria, podem monitorar o estado de seus sistemas com

utilidades que registram e exibem informações sobre processos, configuração de rede e utilização
de recurso. Estes programas foram alguns dos primeiros dos atacantes que queriam evitar
detecção. Conforme métodos foram desenvolvidos para invadir sistemas e apagar pegadas, os
atacantes reuniram esses programas em pacotes chamados root kits e compartilharam livremente
com outros atacantes. O infeliz resultado desta colaboração é que um atacante com limitado
conhecimento e especialização apresenta uma séria ameaça à segurança do sistema e da rede.

 Para mais informações sobre a antiga história das invasões do UNIX e da evolução dos root kits,
consulte Dave Dittrich’s "Root Kits and Hiding Files/Directories/Processes After a Break-in” em
http://staff.washington.edu/dittrich/misc/faqs/rootkits.faq.

Considere os vírus de e-mail como um exemplo. Originalmente, os vírus de e-mail eram

detectados encontrando um padrão específico, ou assinatura, dentro de uma mensagem de e-mail.
Os autores de vírus responderam criptografando os vírus e codificando as rotinas de
decriptografia juntamente com a carga do vírus. Os mecanismos de decriptografia são
detectáveis, assim os autores de vírus desenvolveram mecanismos metamórficos que alteram as
propriedades sintáticas das rotinas de decriptografia. Este desenvolvimento mudou
significativamente o panorama da detecção de vírus. mais do que detectar um padrão de código
específico, o software antivírus tem que detectar vírus com base em comportamento de execução
ou algum outro método de comparação não padrão (veja Figura 2.2).
27
 Capítulo 2

Autores de Vírus
Lançam Vírus de E- Antivírus Detecta
mail Padrões de Código
Específicos

Autores de Vírus
Criptografam o Payload do
Vírus e Incorporam Rotinas
de Decriptografia O Antivírus Detecta
Rotinas de
Decriptografia

Autores de Vírus
Desenvolvem Mecanismos
Metamórficos para Variar Desenvolvedores de
Características Superficiais Antivírus Criam Novas
de Vírus Técnicas (como
Monitoramento de
Comportamento)

Figura 2.2: O padrão dinâmico de ataque/ resposta visto nos primeiros tipos de ataques continua até hoje.

Os vírus de e-mail evoluíram assim para métodos de ataque mais sofisticados. Alguns vírus,
conhecidos como ameaças combinadas (blended), utilizam métodos múltiplos para violar um
sistema, e uma vez dentro, lançam múltiplos tipos de ataques. O bem conhecido vírus de e-mail
Mydoom, por exemplo, emprega vários componentes de malware:
 Uma backdoor instalada através do Windows Explorer para lançar um DDL que
presumivelmente "ouve", numa porta disponível, as instruções do autor do vírus
 Um ataque de negação distribuída de serviço (DDoS) contra http://www.sco.com
(Mydoom.B inclui um ataque de DDoS em http://www.microsoft.com)
 Uma rotina para colher endereços de e-mail
 Uma substituição hospeda arquivo para evitar que o computador alcance uma empresa de
antivírus e outros websites de fornecedor.

28
 Capítulo 2

Princípios aprendidos com experiências anteriores

Apenas com estes exemplos básicos das primeiras violações de sistema operacional e vírus de e-
mail é possível notar várias generalizações sobre a natureza das ameaças e sua relação com a
gestão da segurança. Primeiro, a meta da gestão da segurança é proteger recursos e ativos. Estes
incluem o óbvio, tais como aplicativos, servidores, e dados confidenciais, bem como as marcas
da companhia, reputação perante o cliente, e obrigações contratuais.
Segundo, a gestão da segurança não é um processo estático. Os sistemas de informação estão
constantemente mudando conforme novos aplicativos são instalados, e novas tecnologias, tais
como redes sem fio, são introduzidas. Malware (tal como vírus, worms, spam, e código móvel
malicioso) ameaça romper e danificar sistemas de TI. estas ameaças exploram múltiplas
vulnerabilidades, tirando proveito de fraquezas em e-mail, linguagens de scripting,
características de navegador (browser), configurações de servidor, e outras características dos
sistemas distribuídos. Os dias em que se dependia de defesas de perímetro para evitar a
introdução de malware já passaram. As fronteiras entre "interno" e "externo" ficaram indistintas
conforme as empresas integraram processos através das linhas organizacionais.
Terceiro, o dano de uma violação pode crescer rapidamente para além da invasão inicial.
Arquivos de sistema operacional podem ser trocados, arquivos de configuração modificados, e
programas de backdoor plantados. Estes, por sua vez, podem se tornar a base de lançamento de
uma segunda rodada de ataques, tais como executar ataques DDoS contra outros sistemas.
Finalmente, a gestão da segurança requer que os administradores de sistemas evitem que seus
sistemas virem componentes, ou "zumbis", em ataques distribuídos sobre outros sistemas. estes
incluem tanto ataques DDoS como proliferação de vírus de e-mail. Má segurança em um sistema
pode levar a ataques sobre muitos outros.
O ambiente de segurança que experimentamos hoje em dia é fruto da experiência passada e das
tecnologias atuais. A secção seguinte tratará das ameaças que Têm estado conosco há algum
tempo e estabelecerá a etapa para discussão das ameaças emergentes.

Ameaças contínuas a ativos e recursos

Ameaças vêm de muitas formas e tipicamente envolvem furto, ruptura, ou destruição de ativos
de informação. Elas variam desde ameaças físicas, tais como a destruição de um centro de TI por
incêndio até ameaças intangíveis, tais como furto escondido de informação proprietária. Ao
discutir ameaças, é útil considerar as seguintes questões:
 Com que tipo de ameaça você está lidando?
 Quais são os ativos que você quer proteger?
 Qual é o impacto sobre a organização?
 Quem é o perpetrador, ou mais tecnicamente, o agente da ameaça?
 Que vulnerabilidade é explorada para executar a ameaça?
 Qual é o resultado se a ameaça for efetuada?
As seções seguintes examinarão diferentes tipos de ameaças orientadas por estas questões.

29
 Capítulo 2

Ameaça de furto de informação

O furto de informação é a ameaça de maior custo para as organizações, e o furto de identidade é
exatamente uma das conseqüências caras do furto de informação. O furto de identidade custa
aos bancos $1 bilhão por ano. A Comissão Federal de Comércio dos Estados Unidos (FTC)
informou mais de 686.000.000 casos de furto de identidade em 2005. O Centro de Recursos de
Furto de Identidade (http://www.idtheftcenter.org) estima que a média das vítimas de furto de
identidade gaste 600 horas para se recuperar do crime. O mesmo estudo constatou que as
empresas perderam de $40.000 a $92.000 por nome em ônus fraudulentos.
Os propulsores econômicos estão se tornando motivadores cada vez mais importantes do furto de
informações, e não é só informação pessoal que os ladrões estão buscando. A propriedade
intelectual, na forma de segredos comerciais, listas de clientes e processos proprietários, são tão
valiosos quanto ativos tangíveis para alguns. Com estes propulsores econômicos vem uma
mudança de ataques do tipo "cobertor", tais como soltar um pedaço de malware no ar, para
ataques mais dirigidos focalizados em instituições ou tipos de indústrias em particular. Uma
companhia pode ser objetivada com um ataque de negação de serviço (DoS) se as demandas da
extorsão não forem atendidas. Mais recentemente tem havido o advento do "ransomware"
("software de resgate"), uma forma de malware que criptografa arquivos e permite aos atacantes
extorquir pagamentos em troca de uma chave para decriptografar.

Ataques ao sistema
A Divisão de Crimes Cibernéticos do Departamento de Justiça dos EUA tem uma infinidade de
condenações por furto de informações, incluindo:
 Um gerente de TI condenado por distribuir software, jogos de computador, filmes, e
músicas, no valor de $2,2 milhões, todos protegidos por direito autoral.
 Um atacante de 25 anos de idade condenado por penetrar na Axicom, uma empresa que
gerencia informações de cliente para companhias de cartão de crédito, bancos, varejistas
e outras empresas. O custo da invasão e furto é estimado em $5.8 milhões.
 A condenação de Alexey Ivanov por conspiração, invasão em computador, fraude de
computador, fraude de cartão de crédito, fraude telefônica, e cobranças de extorsão
relativa ao seu ataque a dezenas de servidores para furtar nomes de usuário, senhas,
informações de cartão de crédito e outros dados financeiros. O prejuízo total é de
aproximadamente $25 milhões.

 Informações da Seção de Crime de Computador e Propriedade Intelectual (CCIPS) do Departamento de Justiça

dos EUA (DoJ) estão disponíveis online em http://www.usdoj.gov/criminal/cybercrime/.

Os criminosos furtam informações de inúmeras maneiras. Como alguns dos exemplos anteriores ilustram,
a reprodução de software com direito autoral, penetração em sistemas para furtar informações de dados
financeiros, e furto de dados de transações são todos eles métodos de furto. Sem controles de acesso
apropriados instalados, o furto interno, um método de furto com tecnologia relativamente baixa, pode ser
bastante bem-sucedido. Por exemplo, um esquema de furto por pessoa de dentro foi tão eficaz que O
Escritório da Controladoria da Moeda do Tesouro dos Estados Unidos emitiu uma advertência para os
bancos sobre gangues organizadas recrutando caixas de banco para ajudá-las a fazer saques fraudulentos e
a descontar cheques do governo furtados. (O texto integral da advertência está disponível em
http://www.occ.treas.gov/ftp/alert/2002-4.txt).

30
 Capítulo 2

Salvaguardas contra furtos "internos"

A gestão da segurança envolve múltiplas salvaguardas como uma abordagem em camada para prevenir
invasões de dano porque os perpetradores podem vir de dentro da organização. As antigas distinções
entre "de dentro" e "de fora" não mais se aplicam. Clientes, parceiros de negócios, e fornecedores estão
acessando os ativos e recursos da empresa através de sistemas distribuídos que funcionam através das
fronteiras organizacionais. As barreiras (firewalls) e sistemas de detecção (IDSs) não podem impedir que
empregados descontentes ou outros com acesso legítimo lancem ataques internos. Também, os
empregados nem precisam estar descontentes, pois o acesso fácil é tentador para muitos.
Para minimizar as ameaças dos perpetradores que têm alguma forma de acesso legítimo, utilize
salvaguardas múltiplas. Salvaguardas de controle de acesso e de integridade de arquivo deverão ser
empregadas para restringir precisamente o acesso e detectar alterações nos arquivos críticos. O pessoal
de IT deverá ter o acesso concedido somente a sistemas conforme necessários para suas tarefas.
Programas de integridade de arquivo podem detectar alterações não autorizadas em arquivos de
diretórios de sistemas. Um regime de segurança que inclua detecção de alteração de arquivo pode
detectar uma "bomba relógio" deixada pelo administrador de rede descontente, especialmente quando
combinado com estritos controles de acesso e auditoria regular no sistema.
As ameaças daqueles sem acesso legítimo a recursos de sistema também dependem de múltiplas
camadas de salvaguardas de segurança. Gestão de identidade, controles de acesso, firewalls, IDSs,
verificações de integridade de arquivo, e políticas e procedimentos de formato, têm todos um papel a
desempenhar. Cada uma destas salvaguardas aplica-se ataques de ruptura e destruição bem como a
furto de informações. Cada uma destas contra-medidas objetiva um tipo de ataque em particular; um
regime de segurança eficaz demanda que as contra-medidas sejam coordenadas. Contra-medidas mal-
integradas ainda podem tornar os ativos e recursos vulneráveis a ataque.

 O furto de informações financeiras também cria questões de cumprimento legal com respeito à Lei
Sarbanes Oxley – SOX, e à Lei Graham Leach Billey – GLBA. O descumprimento destas e de outras
regulamentações específicas para a indústria acarreta um alto custo para as organizações.

A proteção contra ameaças de direito autoral requer sistemas abrangentes de gestão de direitos
digitais. A prevenção de violações de sistema depende de políticas de segurança bem-definidas e
fiscalizadas e de salvaguardas de operação. Em muitas situações, técnicas de criptografia são
também requeridas para prevenir furto de informações. Por exemplo, armazenar senhas dentro de
um sistema operacional ou servidor de entrada única em sistema (single sign-on – SSO),
configurar um canal seguro, ou rede virtual privada (VPN), sobre a Internet, tudo dependendo de
criptografia.

 Exploraremos políticas de segurança e salvaguardas operacionais mais adiante neste manual.

31
 Capítulo 2

Ataques criptográficos
A criptografia é utilizada para cruzamento de informação, de modo que somente o remetente e o
destinatário pretendido possam acessar a informação. Eu ma perspectiva de gestão da segurança,
os ataques criptográficos são geridos de várias maneiras. (Para detalhes técnicos, consulte a barra
lateral "Por dentro dos ataques criptográficos").
No nível mais básico, políticas eficazes de senha são definidas e fiscalizadas para minimizar a
chance de que atacantes descubram as senhas. Além de evitar acesso não autorizado a um ativo,
é preciso também assegurar que sistemas fraudulentos não aparentem ser recursos legítimos. Por
exemplo, um funcionário descontente de um banco poderá estabelecer um website que tenha uma
URL (localizador uniformizado de recursos) semelhante ao website do banco e pareça ser um
legítimo serviço bancário online. Como os usuários devem fazer para saber a diferença?
Certificados digitais confiados a terceiros utilizam informação criptografada para validar a
identidade de um site e evitar que alguém adultere com o certificado.
A comunicação entre duas partes depende de que ambas as partes tenham informações que
permitam a elas descruzar as mensagens da outra parte e evitar que outros façam o mesmo. Gerir
esta informação, também conhecida como chave, é uma função essencial da gestão da segurança.

Por Dentro dos Ataques Criptográficos

A natureza dos processos criptográficos, criptografar texto comum em texto cifrado e decriptografar de
volta para texto comum (veja Figura 2.3), e os protocolos para configurar comunicações seguras são
vulneráveis a numerosos ataques.

Figura 2.3: O uso bem-sucedido da criptografia depende de impedir que os atacantes furtem ou descubram
as chaves de criptografia e decriptografia.
Ataques de texto cifrado
Inúmeros ataques são baseados no fato de que o atacante tenha cópias de uma ou mais mensagens de
texto comum e de texto cifrado. Num ataque de texto cifrado somente, o atacante tenta descobrir a
chave de criptografia analisando uma quantidade de mensagens codificadas. Quanto mais longa a chave
de criptografia, mais difícil será atacá-la. Chaves curtas, tais como a chave DES de 56 bits, são
facilmente rompidas; as chaves mais longas, como a chave de 168 bits utilizada no algoritmo DES triplo,
são atualmente consideradas seguras contra trincas. Variações do ataque somente de texto cifrado
incluem o ataque de texto comum conhecido, o ataque de texto comum escolhido e o ataque de texto
cifrado escolhido.
32
 Capítulo 2

Ataques do "homem no meio"

Os ataques do homem no meio enganam duas vítimas que pretendem se comunicar sobre uma rede. O
atacante intercepta o tráfego de rede entre as duas, e muda as informações enviadas a cada vítima sem o seu
conhecimento. Por exemplo, um executivo envia uma mensagem a um assistente pedindo uma transferência
de fundos de sua companhia para um fornecedor para garantir um negócio sobre um novo equipamento. O
executivo inclui um número de encaminhamento para o banco e um número de conta na mensagem. A
mensagem é interceptada por um atacante, os números de encaminhamento e conta são alterados, e a
mensagem modificada é enviada ao assistente que transfere os fundos para a conta do atacante.
Este tipo de ataque funciona quando o atacante pode identificar os sistemas fonte e alvo das vítimas, "fuçar"
uma rede, interceptar pacotes entre as vítimas, e modificar as mensagens (ou seja, as mensagens não estão
fortemente criptografadas). Como em outros tipos de ataques, ferramentas estão prontamente disponíveis
para auxiliar nos ataques de homem do meio. Algumas das ferramentas mais conhecidas são Hunt, T-sight, e
Juggernaut.
Um canal de comunicação criptografada pode evitar este ataque desde que o atacante não intercepte as
chaves conforme elas são trocadas. Assinaturas digitais em mensagens e resenhas de mensagens são
também utilizadas para assegurar que as mensagens são autênticas e não modificadas no caminho (veja
Figura 2.4).

Mensagem para
Assistente é
Interceptada

Executivo

Atacante Envia
Mensagem Modificada Atacante

Assistente Recupera
Chave Pública do
Executivo para
Decriptografar Mensagem

Assistente

Assistente Verifica
Assinatura com a Chave
Pública do Executivo e
Descobre o Ataque

Infra-estrutura da
Chave Pública

Figura 2.4: Assinaturas digitais ou resenhas de mensagens criptografadas com a chave de criptografia
privativa do remetente podem evitar ataques de homem no meio.

33
 Capítulo 2

Ataques replay
Um ataque replay reutiliza informações capturadas por um "fuçador" ou outro dispositivo passivo. Por
exemplo, um "fuçador" pode capturar pacotes contendo informações de autenticação que são usadas
mais tarde para acessar um sistema. Os ataques replay podem ser prevenidos utilizando IDs exclusivos
de componente de sessão e mensagem. Os remetentes anexam estes IDs a mensagens quando as
mensagens são enviadas, e os destinatários registram estes IDs para deferência futura. Quando um
destinatário recebe uma mensagem ele ou ela verifica se os IDs de componente de sessão ou
mensagem não foram utilizados anteriormente; se foram, a mensagem sofreu replay. O formato de
cabeçalho Encapsulating Security Payload (ESP) no protocolo de IP (versões 4 e 6) utiliza este tipo de
mecanismo anti-replay.

Ataques dicionário
As senhas são geralmente criptografadas com funções de uma via só que são fáceis de computar mas
difíceis, se não impossíveis, de reverter. Quando um atacante furta um arquivo de senhas, em vez de
perder tempo tentando decriptografar o arquivo, o atacante poderá comparar o arquivo com uma lista se
senhas conhecidas que foram criptografadas com a mesma função de uma via só (veja Figura 2.5). Este
método é um ataque dicionário.
Para evitar ataques dicionário vem-sucedidos, os administradores de sistemas e profissionais de
segurança recomendam utilizar senhas difíceis de adivinhar. Estas geralmente incluem senhas que têm
as seguintes características:

 Um comprimento mínimo razoável (pelo menos oito caracteres)

 Uma combinação de letras maiúsculas e minúsculas
 menos um número e um caractere especial (tal como @, $, !)
 Seqüências de caracteres não encontradas em dicionários ou utilizadas em nomes

Políticas de senha, com exigência de cumprimento como estas, podem minimizar a probabilidade de um
ataque dicionário bem-sucedido.

Figura 2.5: Ataques dicionário são bem-sucedidos quando são permitidas senhas mal escolhidas.

34
 Capítulo 2

Ameaça de desconexão e destruição

As ameaças e desconectar serviços e destruir informações são os tipos mais comuns de ataques.
De acordo com a mais recente Pesquisa sobre Crime de Computador do CSI/FBI, 82 por dento
dos que responderam à pesquisa já experimentaram um ataque de vírus e 42 por cento
experimentaram um ataque de DoS (o segundo em custo somente para furto de informação). A
pesquisa CSI/FBI estima que o custo total foi de mais de $67 milhões em 2003. Esta categoria
inclui vários tipos de ataques:
 DoS
 Spoofing de domínio
 Vírus e vermes
 Exploração de navegador da Web
Esta não é uma lista exaustiva de todos os tipos de ataques de desconexão e destruição - por
exemplo, o Spam, e-mail não solicitado e não desejado, também se tornou uma importante
ameaça aos serviços, causando impacto na largura de banda da rede, desempenho do sistema de
e-mail, armazenamento de rede, e suporte a usuário final – mas dá algum sentido aos tipos mais
comuns de ataques.

Ataques de DoS
Os ataques de DoS procuram privar os usuários de acesso a recursos do sistema. Tipicamente,
este ataque é efetuado sobrecarregando um servidor com solicitações para um recurso, tal como
largura de banda, conexões, espaço em disco, memória e assim por diante. Outra forma deste
ataque limita acesso aos serviços alterando informações de configuração.
Em fevereiro de 2000, a Yahoo!, Buy.com, EBay, Amazon.com, e CNN.com experimentaram
ataques de DoS por um período de 2 dias. Os sites foram inundados com tráfego junk (lixo) de
rede, uma técnica denominada packet flooding (inundação de pacotes), de modo que os usuários
legítimos não podiam acessar aqueles sites. Outra forma desse tráfego de lixo são as solicitações
espúrias para conexão.
Estas solicitações de conexão utilizam endereços de retorno falsos, assim, quando o servidor
responde, ele não pode encontrar o servidor que iniciou a solicitação. O servidor atacado manterá
a conexão aberta para a solicitação espúria por algum período de tempo (por exemplo, até 1
minuto) antes de fechá-la. Quando milhares dessas conexões espúrias são feitos, o servidor
esgota seu conjunto (pool) de conexões, o que impede o acesso por outros (veja Figura 2.6).

35
 Capítulo 2

Figura 2.6: Os ataques de DoS sobrecarregam servidores com tráfego espúrio e solicitações de conexões,
esgotando finalmente os recursos de um servidor.

Uma versão mais sofisticada deste ataque é o ataque de DDoS (veja Figura 2.7). Este tipo de
ataque pode ocorrer em duas fases: Primeiro, o originador do ataque coloca uma cópia do
programa DoS num sistema vulnerável. Estes programas DoS são projetados para lançar um
ataque coordenado num momento específico ou após um evento em particular. Os ataques de
DDoS são mais difíceis de parar do que os ataques tradicionais de DoS devido às múltiplas
fontes de ataque. Também é difícil rastrear o ataque de volta até o originador.

36
 Capítulo 2

Sistema Atacante 1

Originador Sistema Atacante 2

Infecta
Sistemas
Sistemas
Atacantes
Vulneráveis
Coordenam
com
seus Ataques
Programa de
DOS
Originador do
Servidor
Ataque de DDOS Sistema Atacante 3

Ataques de
Sistema Atacante n Inundação de Pacote
Podem Consumir
toda a Largura da
Banda Disponível

Figura 2.7: Os ataques de DDoS utilizam sistemas comprometidos ou "zumbis" para lançar um ataque
coordenado.

Outra forma de ataques de DoS altera as informações de configuração nas máquinas alvo. Em
máquinas Windows, este ataque pode envolver a modificação de configurações de registro ou a
alteração de arquivos de configuração de rede. Por exemplo, no caso do recente vírus de e-mail
Mydoom, um componente de DoS modificou o arquivo residente em hosts para mapear nomes
de domínio de fornecedor de antivírus para um endereço de IP espúrio, 0.0.0.0. Ataques
semelhantes podem ocorrer em sistemas Linux e UNIX.
Os ataques DoS podem vir de dentro da organização. O ataque da "bomba bifurcada" (fork
bomb), por exemplo, desova processos até que os recursos do sistema sejam consumidos. Outra
técnica é gerar repetidamente erros de sistema até que os arquivos de eventos fiquem cheios e o
espaço de disco seja consumido.

37
 Capítulo 2

Evitar qualquer tipo de ataque de DoS é difícil. Porque os atacantes de DoS mascaram endereços
de IP, é difícil identificar a fonte e evitar que a fonte continue o ataque. Algumas ferramentas de
inundação de pacote de DoS alteram as portas de fonte e de destino em pacotes para tornar a
detecção e supressão mais difíceis. Os programas de DoS estão se tornando mais sofisticados,
utilizando protocolos alternativos tais como o Internet Relay Chat (IRC), e incorporando
mecanismos de auto-replicação. O verme SQL Slammer, por exemplo, explorou uma
vulnerabilidade na base de dados do servidor Microsoft SQL para se espalhar em poucos minutos
através de grande parte da Internet.
Para evitar ataques de DoS, "fuçadores" de detecção de invasão e de rede podem detectar
padrões recorrentes em pacotes de rede e bloquear esses pacotes numa barreira (firewall), assim
protegendo os sistemas que estão dentro da barreira. ´Porém, os recursos ainda ficam
indisponíveis para usuários externos legítimos.

 Para uma descrição da linha do tempo da disseminação do vírus Slammer através da Internet,
consulte de Paul Boutin "Slammed: Uma visão interna do verme que quebrou a Internet em 15
Minutos”, em Wired, julho de 2003 (http://www.wired.com/wired/archive/11.07/slammer.html).

Abuso interno e backdoors

Algumas vezes as ameaças mais prejudiciais vêm de dentro de uma organização. Por exemplo
um ex-administrador de rede numa companhia de instrumentos de medição e controle de alta-
tecnologia deixou uma "bomba relógio" para excluir todo o sofisticado software de manufatura
nos servidores de seu ex-empregador. A interrupção custou à companhia pelo menos $10
milhões em vendas e futuros contratos.

 Para mais informações sobre este incidente, consulte http://www.cybercrime.gov/lloydSent.htm.

Os tipos usuais de ataques de invasor, incluem:

 Consumir recursos através de ataques internos de DoS
 Navegar e copiar informações confidenciais
 Conceder privilégios adicionais
 Fraude e outros furtos

 Como observado anteriormente, a distinção entre ameaças internas e externas não tem mais
utilidade. É melhor distinguir os usuários por seu nível de acesso legítimo. Desenvolvedores e
administradores de sistema têm altos níveis de acesso. Estes papéis demandam altos níveis de
controles, monitoramento e fiscalização de política. O mesmo mecanismo de controle de acesso que
detém atacantes pode manter restrições apropriadas sobre usuários legítimos.

38
 Capítulo 2

Negando serviços por imitação (spoofing) de domínio

A imitação de domínio objetiva servidores de sistema de nome de domínio (DNS), que são
responsáveis por mapear nomes de domínio, tais como www.mydomain.com num endereço de
IP. Os servidores de DNS respondem às consultas da base de dados do DNS e respondem de uma
de quatro maneiras:
 Se o servidor tem o mapeamento do nome de domínio para o endereço de IP em cachê,
ele retorna o endereço de IP.
 Se o servidor não tem o nome de domínio em cachê, o servidor poderá consultar um
servidor de DNS de raiz sobre a informação.
 O servidor poderá responder á consulta retornando o endereço de um outro servidor de
DNS de raiz que pode responder à solicitação.
 O servidor poderá gerar um erro por uma solicitação inválida.
Uma vez que o servidor de DNS tenha recuperado um endereço de IP para um nome de domínio,
o servidor coloca essa informação em cachê por um período de tempo pré-definido que é
denominado período de "Tempo de Vida" (TTL). Na teoria, os servidores de DNS devem aceitar
informações de domínio de um servidor autorizado. Na prática, as versões mais antigas dos
populares servidores de DNS, incluindo o popular Berkley Internet Name Domain (BIND),
podem aceitar e armazenar em cachê mapeamentos falsos de nomes de domínio resultando em
imitação (spoofing) de nome de domínio.

 Para mais informações sobre as vulnerabilidades conhecidas das primeiras versões BIND, consulte
a matriz de segurança BIND, em: http://www.isc.org/index.pl?/sw/bind/.

39
 Capítulo 2

Domínio A Domínio B
3. Servidor
FTP do
Domínio A
Transfere
Arquivo para
Servidor FTP
2. Servidor do Domínio B
1. Servidor Servidor FTP
FTP Tenta DNS Responde Servidor FTP
Acessar com Endereço
ftp.b.com de IP em
Cache

Servidor DNS

4. Atacante 5. Após o Spoofing, o

Substitui Tráfego para o
Endereço de IP Domínio B é Enviado
do Domínio B para o Endereço de IP
por Endereço do Atacante
de IP do
Atacante

Estação de
Trabalho do
Atacante do DNS

Figura 2.8: A imitação de domínio reencaminha o tráfego de seu alvo legítimo para um terceiro.

Os passos de 1 a 3 ilustram como o DNS deverá resolver normalmente um nome de domínio

para um endereço de IP. Quando um serviço de Internet, tal como ftp ou e-mail, necessita de uma
conexão para um serviço em um outro servidor, o serviço consulta primeiro um servidor de DNS
sobre um endereço de IP. O endereço de IP correto é retornado e a conexão é feita para o serviço
almejado. No passo 4, o servidor de DNS vulnerável é imitado armazenando em cachê um
endereço de IP incorreto para o Domínio B. Desse ponto em diante, o tráfego para o Domínio B
é encaminhado para o endereço de IP do atacante em vez de para o Domínio B.

40
 Capítulo 2

Vírus
Os vírus vêm sendo há muito tempo um problema na segurança de computador. Com o advento
do PC, os vírus anteriores foram disseminados infectando disquetes utilizados em vários PCs.
Hoje, o e-mail, Internet chat, e outros protocolos são o modo mais comum de transmissão. Os
novos canais de transmissão são uma das razões da rápida disseminação dos vírus; outro motivo
é a própria natureza evolutiva dos vírus. Os vírus se tornarem cada vez mais complexos e mais
difíceis de detectar. As categorias gerais de vírus, em ordem crescente de complexidade, são:
 Vírus estáticos, não criptografados
 Vírus criptografados
 Vírus polimórficos
Estas categorias representam as técnicas utilizadas pelos autores de vírus para evitar detecção.
Estas técnicas podem ser utilizadas com diferentes tipos de vírus, incluindo inicialização (boot),
arquivo e macro-vírus, que variam por método de ataque.
Independentemente de como um vírus mascara sua identidade ou como ele objetiva um sistema,
todos eles têm três componentes:
 Carga
 Método de disseminação
 Condição ou data de disparo
Uma carga é o código que é executado uma vez que o vírus seja disparado e pode ser tão simples
quanto exibir uma mensagem ou tão maliciosa quanto excluir arquivos. Os métodos de
disseminação variam por tipo de vírus. Por exemplo, alguns vírus macro do Microsoft Word
disseminam infectando o gabarito normal.dot. Alguns vírus de e-mail recentes disseminaram
enviando cópia deles mesmos a endereços encontrados num catálogo de endereços de um usuário
infectado. Muitos vírus são disparados quando um usuário abre um anexo infectado; outros são
ativados numa data pré-definida.

Como detectar vírus simples

Os vírus estáticos, não criptografados são os mais fáceis de detectar. estes vírus são como
programas convencionais no que eles não criptografam nem escondem de outro modo seu código
executável. O software antivírus detecta facilmente estes vírus procurando identificar padrões de
código. Estes padrões, ou assinaturas, devem ser suficientemente discriminados para reduzir a
chance de falsos positivos.

Vírus criptografados
Seguindo o padrão observado na abertura deste capítulo, os autores de vírus responderam às
técnicas de detecção antivírus com técnicas para frustrar a simples coincidência de padrão.
Criptografar o vírus é o primeiro passo (veja Figura 2.9).

41
 Capítulo 2

Payload
Criptografado

Chave de
Decriptografia

Código de
Decriptografia

Figura 2.9: Os vírus criptografados precisam portar o código de decriptografia e a chave de decriptografia
juntamente com a carga do vírus.

Um arquivo criptografado ainda tem padrões exclusivos que podem ser utilizados por varredura
(scanning) de assinatura de software antivírus. Os autores de vírus evitaram isto escolhendo
chaves de criptografia aleatórias e diferentes métodos de criptografia. O calcanhar de Aquiles
desta técnica é que o código de decriptografia precisa ser incluído junto com o vírus. Os
scanners antivírus são capazes de varrer em busca daquele código e identificar os vírus. Alguns
vírus, tais como o vírus "Baleia" (Whale), utilizam vários esquemas de criptografia e, portanto,
códigos de decriptografia diferentes. Os scanners antivírus necessitam de uma assinatura
exclusiva para cada tipo de esquema de decriptografia a fim de detectar este vírus.

Vírus polimórficos
Os atacantes fizeram o movimento seguinte. Eles criaram vírus que mudam com cada infecção
utilizando um dispositivo de mutação. O mecanismo de mutação modifica o código do vírus de
maneira tal que ele altera o arquivo binário sem alterar o comportamento dos programas (veja
Figura 2.10). As técnicas típicas incluem:
 Trocar a localização de instruções independentes
 Acrescentar instruções inúteis tais como Nenhuma Operação (NOP)
 Utilizar diferentes instruções que têm o mesmo efeito, por exemplo "subtrair 2 de A" ou
"adicionar -2 a A".
Qualquer combinação destas técnicas pode ser utilizada qualquer número de vezes, tornando
impossível depender de scanning de assinatura para identificar vírus confiavelmente. Novas
técnicas têm de ser desenvolvidas para identificar vírus polimórficos.

42
 Capítulo 2

Payload
Criptografado
Mecanismo de
Mutação

Chave de
Decriptografia

Código de
Decriptografia

Figura 2.10: Os vírus polimórficos incluem dispositivos de mutação para variar o vírus conforme ele se
propaga.

As primeiras tentativas se focalizaram em rotinas de detecção artesanais escritas por

pesquisadores de antivírus. Esta abordagem obviamente não iria subir e assim levou a uma
mudança na estratégia: mais do que olhar para as características superficiais de um arquivo,
examinar padrões de comportamento.
Detectores polimórficos genéricos criaram um ambiente virtual para executar vírus suspeitos.
Estes ambientes virtuais provêm uma "caixa de areia" para executar o código do vírus sem
arriscar danificar o sistema hospedeiro. Conforme o vírus é executado, os detectores procuram
por um sinal denunciador, tal como uma assinatura depois que a carga é decriptografada. Um
limitador crítico dos detectores polimórficos genéricos é o tempo requerido para rodar a
simulação do vírus. Não há maneira de saber quando uma carga será decriptografada e não há
maneira genérica de determinar quando um programa será concluído, assim as simulações
sozinhas não são suficientes.
Os pesquisadores de antivírus acrescentaram heurística, ou normas práticas, às simulações para
melhorar a detecção. Algumas regras procuram por sinais denunciadores de vírus, tais como o
uso de uma instrução NOP. Outras regras verificam comportamentos não comumente
encontrados em vírus, tais como geração de interrupções. Entre estes dois tipos de regras, um
programa antivírus pode estimar a probabilidade de que o programa sendo executado no
ambiente virtual é realmente um vírus.
A evolução dos vírus provavelmente continuará como um ciclo de inovação por parte dos autores
de vírus, levando a inovações pelos pesquisadores de antivírus, assim disponibilizando novas
técnicas de codificação de vírus.

Por que tantos vírus?

Os usuários de computador são constantemente lembrados a manter seu software antivírus
atualizado para evitar infecções, mas isto levanta a questão de por que há tantos vírus diferentes
se eles são tão complexos? Programas automutantes, auto-replicadores são difíceis de escrever.
Há tantos atacantes lá fora que podem escrever tais programas? Infelizmente, a resposta é
afirmativa.
43
 Capítulo 2

O conhecimento sobre técnicas de autoria de vírus se espalha do mesmo modo que acontece com
outros tópicos. A primeira pessoa a escrever um mecanismo de mutação para um vírus
polimórfico enfrentou uma barreira muito mais alta do que os autores de vírus subseqüentes
enfrentaram. Os mecanismos de mutação, tais como o Mutation Engine (MtE) e o Triden
Polymorphic Engine (TPE), foram empacotados em kits de ferramentas para permitir que
qualquer autor de vírus acrescente funcionalidade polimórfica. Assim, mesmo autores não
sofisticados de vírus podem criar vírus que não são detectados por técnicas de scanning por
assinatura.
Para principiantes, há kits de vírus para gerar vírus com uma gama de características. Estes kits
dão aos usuários opções para customizar os vírus gerados, tais como nível de dano e condições
de disparo. Felizmente, o código gerado a partir de kits de vírus anteriores contém código
comum que é detectável por software antivírus de varredura por assinatura.

 Para mais informações sobre kits de construção de vírus, consulte, de Howard Fuhs, "Kits de
Construção de Vírus" em: http://www.fuhs.de/en/pub/virconkits.shtml.

A gravidade do problema de vírus fica clara quando imaginamos um hacker principiante, ou

script kiddie, utilizando um kit de ferramentas acionado por menu para gerar um vírus destrutivo.
Para minimizar a chance de detecção, os hackers utilizam o mecanismo de mutação MtE para
acrescentar capacidades polimórficas. Combine os recentes vírus mutantes com um macro-vírus
encontrado no "quadro de avisos" de um atacante que envia uma cópia dele mesmo a todos os
endereços do catálogo de endereços do Outlook de uma vítima, e você terá um vírus difícil de
detectar e de disseminação rápida.

Formas adicionais de malware

Os vírus são provavelmente a forma mais bem-conhecida de software malicioso, os vermes são
bastante comuns, mas um hospedeiro de outros tipos de malware também surgiu:
 O spyware, também conhecido como programas potencialmente indesejados (PUPs). Este
tipo de malware pode rastrear padrões de uso e enviai informações para um repositório
centralizado controlado por um atacante.
 Keyloggers – programas que captam toques de teclas conforme eles são digitados, tirando
proveito das funções de baixo nível de sistema operacional, conhecidos com "anzóis"
(hooks), os quais são utilizados para finalidades legítimas, tais como códigos de
depuração. Os keyloggers são especialmente úteis para capturar nomes de usuário e
senhas, especialmente quando outro texto na seqüência capturada indicar uma possível
combinação de nome de usuário e senha. Por exemplo, após digitar
www.mybankwebsite.com, é razoável supor que um usuário digitará um nome de usuário
e senha.
 Agarradores de quadro de vídeo, também conhecidos como screen scrapper – Programas
que copiam dados do buffer de vídeo. Isto é útil, por exemplo, para capturar cópias de
documentos ou e-mails lidos por um usuário.
 Kits de raiz (root kits) – Cobrem os rastros de atacantes alterando informações de baixo-
nível de sistema operacional e interceptam chamadas de sistema de baixo-nível. Os kits
de raiz são notoriamente difíceis de detectar e erradicar, sem reinstalar um sistema
operacional.
44
 Capítulo 2

O malware está crescendo, tanto na sofisticação de técnicas específicas, como vírus polimórficos
modo na amplitude das formas especializadas, que agora incluem programas maliciosos para
monitorar toques de tecla e exibições de vídeo.

Spam
O Spam cresceu rapidamente até se tornar uma ameaça importante para a desconexão se
serviços, entupir sistemas de e-mail, sufocar largura de banda de rede, utilizando espaço de
armazenamento valioso, e aumentando os custos de central de atendimento. O IDC analista
estima que até 70% do e-mail nos Estados Unidos é spam e que o custo para proteger uma firma
de 14.000 empregados contra o spam pode chegar a $245.000, e que este número está crescendo.
Os spammers estão constantemente usado novos truques para atravessar filtros existentes e as
organizações são desafiadas a reduzir a quantidade de spam enquanto asseguram que os e-mails
comerciais válidos possam passar. A legislação governamental tem sido uma avenida percorrida
para acabar com o assalto de spam, mas a sua eficácia é questionável. A Lei de Controle do
Assalto de Pornografia e Marketing Não Solicitados de 2003 (CAN SPAM), e a lei anti-spam
que entrou em vigor em 1º de janeiro de 2004, não parecem ter reduzido substancialmente a
quantidade de spam.

O estado do malware e a implicação para a gestão da segurança.

Esta breve visão geral das ameaças à segurança da informação eletrônica (esta visão geral
excluiu exemplos de ameaças físicas, tais como incêndio e inundação) destaca três tendências
perturbadoras:
 A capacidade crescente de atacantes modestamente talentosos lançarem ataques
sofisticados utilizando kits de ferramentas
 A dificuldade crescente em detectar ataques, particularmente com vírus polimórficos
 O uso de vulnerabilidades de aplicativo para disseminar vermes
Qualquer responsável pela gestão da segurança também notará uma outra implicação destas
tendências. Imagine que um programador insatisfeito, cujo posto de trabalho tenha sido mudado
para o exterior, tenha acesso a um kit de ferramentas de vírus baseado em interface gráfica de
usuário, ao mecanismo de mutação MtE, e à rede corporativa. Um cenário similar também pode
ser aplicado a um gerente de rede com um kit de ferramentas de DDoS.
Assim, é prudente supor que os ataques aumentarão com o tempo e que a sofisticação dos
ataques continuará a crescer. A resposta é apropriada é ver a segurança como um processo em
andamento, e não um estado estático.

O novo campo de atuação do malware

No início dos anos 90, o malware era um tipo de ameaça simples, tal como um vírus de
inicialização de setor, um macro-vírus, uma backdoor, ou um ataque de DoS. Estas ameaças
utilizavam um método simples de ataque, por exemplo, através de e-mail ou através de uma sala
de "bate-papo". Hoje, o malware consiste de uma combinação de múltiplos ataques e métodos de
disseminação, resultando em ataques combinados. Algumas dessas ameaças também utilizam
técnicas de sondagem para pesquisar vulnerabilidades.
45
 Capítulo 2

O impacto sobre a gestão da segurança é evidente: Respostas de um único sistema às ameaças,

tais como firewalls e software antivírus não são suficientes. A segurança precisa ser gerida
através de plataformas e serviços. Ela também precisa incluir salvaguardas contra ameaças
internas bem como externas. Esta seção irá examinar as ameaças combinadas, e a seguir
apresentar exemplos de "vírus" que são realmente muito mais do que o tradicional malware de e-
mail.

Características das ameaças combinadas

As ameaças combinadas podem ser qualquer combinação de métodos de ataque e métodos de
propagação. Muitas se espalham como vermes – programas que se disseminam através de
vulnerabilidades numa rede. Diferentemente dos verdadeiros vírus, os vermes não dependem de
outros aplicativos para funcionar. A lista seguinte oferece as características gerais das ameaças
combinadas:
 Como os vírus convencionais, as ameaças combinadas podem danificar arquivos,
corromper configurações de sistema operacional, e subjugar recursos de rede. Os danos
comuns incluem alterar configurações de registro, injetar códigos maliciosos em
executáveis de sistema operacional, e adicionar scripts a documentos HTML.
 As ameaças combinadas disseminam através de múltiplos métodos e podem às vezes
evitar as salvaguardas comuns. Por exemplo, o Fizzer work é um vírus com o seu próprio
mecanismo SMTP e dissemina sobre a rede Kazaa ponto a ponto. As salvaguardas em
sistemas de e-mail corporativos são contornadas em ambos os casos.
 As ameaças combinadas podem incluir rotinas que sondam vulnerabilidades conhecidas,
tais como transbordamento de buffers e o uso de senhas de default em contas pré-
definidas.
 Ameaças recentes estão fazendo maior uso de redes para manter o malware depois que
ele tiver infectado um sistema. Vermes tais como o Fizzer conectam com um website
para baixar atualizações do vírus.
 As ameaças combinadas poderão conter utilidades básicas de rede. Como observado, o
vírus Fizzer tem seu próprio mecanismo SMTP, o vírus Lovsan tem uma utilidade de
Protocolo Trivial de Transferência de Arquivo (TFTP) embutida.

Exemplo detalhado de uma ameaça combinada

O verme Fizzer é um exemplo primordial de uma ameaça combinada. O malware dissemina
como um anexo de e-mail. Quando um usuário de e-mail abre o anexo, o vírus copia um arquivo
para o diretório do sistema Windows, e então coloca dois outros arquivos, uma biblioteca DDL e
um outro executável, no diretório do sistema. A biblioteca é utilizada para registrar toques de
tecla ou outro executável é utilizado para recompor o vírus.
A seguir, uma entrada é acrescentada ao registro do Windows ativando o verme para cada sessão
do Windows. Ele também tenta paralisar qualquer software antivírus que está executando
atualmente.
Uma vez instalado, o vírus começa a disseminar. Com a propagação de e-mail, o vírus procura
por endereços de e-mail nas pastas de endereço do Outlook e alveja pastas do sistema
operacional, tais como pastas cookie. Mensagens infectadas são enviadas a todos os endereços
46
 Capítulo 2

encontrados utilizando endereços de retorno mascarados (spoofed). Os endereços são

aleatoriamente selecionados de uma lista de grandes domínios de e-mail, tais como msn.com,
yahoo.com, e hotmail.com. Nomes de destinatários, assuntos, nomes de anexos, e corpos de
mensagem são escolhidos de uma lista dento da carga do vírus. O verme também procura por
pastas de rede Kazaa ponto a ponto. Se encontradas, o vírus é copiado para a pasta
compartilhada. Os usuários que baixam e executam arquivos a partir daquela pasta infectam seus
próprios sistemas.
O verme cria três mecanismos de backdoor. Primeiro, ele tenta conectar com vários servidores
IRC e, uma vez conectado, o vírus cria bots (robôs) presumivelmente de modo que o autor do
vírus pode emitir comandos para o sistema infectado. Ele também cria um novo usuário de AOL
Instant Messenger e conecta com uma sala de bate-papo presumivelmente aguardando
instruções. Finalmente ele utiliza as portas de 2018 até 2021 para "ouvir" comandos de um host
remoto.
As ameaças combinadas, tais como Fizzer and Mydoom disseminam rapidamente e podem
infligir dano considerável. Os profissionais de segurança não estão mais lidando com um único
ataque de DoS, um vírus de e-mail, ou uma backdoor; eles estão lidando com todos eles ao
mesmo tempo. Estas ameaças emergentes requerem uma abordagem mais holística e integrada
da gestão da segurança empresarial (veja Figura 2.11).

Comprometer
Configuração do SO
Conectar-se a
Serviços de
Encerrar Processos
Mensagem para
do Software Antivírus
Comandos de
Backdoor

Acessar Portas Corromper Arquivos de

Locais para Configuração de Rede para
Comandos de Impedir Acesso ao Software
Backdoor Antivírus ou a Atualização do
SO
Computador Infectado
por Worm Combinado

Infectar Pastas Instalar Programa

Compartilhadas de DDoS para
Redes Peer-to-Peer Posterior Execução
Enviar E-mails
Infectados para
Endereços Encontrados
no Catálogo de
Endereçosk

Figura 2.11: As ameaças combinadas associam múltiplas formas de malware dentro de uma única carga.

47
 Capítulo 2

Phishing (seqüestro) e ameaças à integridade da marca

Além das ameaças à infra-estrutura física da informação, os gestores de segurança da informação
estão enfrentando desafios objetivando ativos intangíveis. Seqüestro de identidade de marca num
processo denominado phishing. O phishing, que começou como um estratagema de operadores
de telemarketing para obter informações sobre cheque de aposentadoria de idosos, tornou-se uma
ameaça proeminente para os serviços comerciais online.
O phishing é um truque no qual um perpetrador se mascara como uma empresa legitima para
induzir vítimas a revelarem dados pessoais utilizando uma variedade de técnicas. Muitos truques
de phishing utilizam e-mail como veículo para solicitar informações. O processo começa com
um e-mail de massa pedindo ao destinatário para atualizar informações ou de algum outro modo
a fornecer dados pessoais. O e-mail é supostamente de um banco, serviço online, ou outro
fornecedor que tem uma grande base de clientes online de modo que as chances são boas de que
alguns dos destinatários sejam realmente clientes das empresas. A mensagem contém um link
para um site de phishing aparentemente legítimo, no qual as vítimas são solicitadas a fornecer
informações.
Os serviços financeiros e serviços online são os alvos mais populares para truques de phishing.
De acordo com o Grupo de Trabalho Anti-Phishing http://www.antiphishing.org), o Citibank,
U.S. Bank, Bank One, Fleet, Wells Fargo Bank, PayPal, eBay, Yahoo!, MSN, AOL, e um
número crescente de instituições menores têm sido vítimas de truques de phishing. A tendência
de atacar companhias menores parece ser uma tentativa de ficar abaixo dos limiares de detecção
utilizando companhias menos populares e objetivando menos vítimas.

 Para estatísticas sobre a prevalência de phishing, consulte o relatório de Tendência de Ataques de

Phishing em http://www.antiphishing.org.

O phishing é um ataque viável por várias razões:

 É bastante simples forjar um endereço de retorno em SMTP.
 Os perpetradores podem copiar facilmente código HTML e arquivos de imagem de sites
legítimos para criar um site de phishing.
 Os URLs dos sites de phishing são muitas vezes semelhantes a endereços legítimos,
enganando muitas vítimas.
 Os consumidores, na maioria das vezes não cientes to potencial do phishing, confiam nas
companhias que supostamente enviam e-mail.
Várias medidas podem reduzir o impacto do phishing dentro de uma organização. Além das
medidas básicas de segurança, os antivírus, anti-spyware e firewalls, anti-spam, filtragem de
conteúdo e filtragem de URL podem diminuir os e-mails ilegítimos e evitar acesso a URLs de
phishing conhecidos. A filtragem de URL pode identificar sites sabidamente maus e sites de
"phish" mal construídos tais como http://www.citibank.i.com (este é um exemplo fictício de um
site de phish).
Eles ajudarão a proteger informações organizacionais confidenciais, bem como informações
pessoais de empregados contra técnicas enganosas e manipuladoras para adquirir essas
informações. Mais ainda, políticas e processos precisam estar implementados para proteger os
clientes de empregados ou contratados desejosos de vender essas informações. Como acontece

48
 Capítulo 2

com outras ameaças, proteger contra phishing requer uma combinação de tecnologia, pessoal e
processos.
Além disso, as companhias com serviços online deverão educar os clientes sobre as políticas da
companhia para atualizar informações de contas ou para solicitar informações pessoais. Políticas
de interação com o cliente claramente comunicadas precisam ser regularmente conduzidas com
um processo que ajude os clientes a alertar facilmente e com segurança as organizações quando
possíveis desonestidades ocorrerem.

49
 Capítulo 2

Gerindo ameaças
A primeira parte deste capítulo descreveu a complexidade e variedade de ameaças que a
organização enfrenta. Esta seção explora como gerir essas ameaças.

Sistemas antivírus e de detecção de invasão (IDSs)

Antivírus e IDSs são partes integrantes de uma segurança abrangente. Ferramentas como estas
presumem que as ameaças do exterior podem penetrar firewalls (o que de fato elas podem) e que
as ameaças podem surgir de dentro de uma organização (o que de fato acontece).
O software antivírus protege contra uma ampla gama de vulnerabilidades, incluindo:
 Software confiado que não protege adequadamente contra uso não autorizado, tais como
linguagens macro embutidas.
 Vulnerabilidades em aplicativos comuns tais como a conhecida vulnerabilidade MIME
no Microsoft Explorer que foi utilizada pelo verme Nimda.
 Programas de backdoor inseridos através de vírus e vermes de ameaça combinada.
 Utilização como zumbi para lançar ataques de DoS.
O software antivírus é uma medida eficaz para manter malware fora de uma rede; a detecção de
invasão é uma medida eficaz para reconhecer e possivelmente parar ataques diretos. Os sistemas
IDSs e de prevenção de invasão (IPSs) detectam atividade não usual e ameaçadora. Os dois tipos
gerais de IDS são os baseados em hospedeiro (host) e os baseados em rede.
O IDS baseado em host monitora e detecta alterações nos arquivos utilizando verificações de
integridade. O IDS calcula um valor de função de prova (hash) ara arquivos de sistema críticos
quando eles são instalados pela primeira vez (ou pelo menos que sabidamente estão isentos de
corrupção), e então recalcula periodicamente a função de prova para os arquivos. Se houver uma
diferença entre os valores de prova originais e os novos, o arquivo foi alterado. O IDS baseado
em host também utiliza registros de eventos de auditoria, monitoramento de processo e outras
técnicas para monitorar atividades nos sistemas.
O IDS baseado em rede monitora o tráfego de rede utilizando algoritmos estatísticos e de
coincidência de padrão; alguns utilizam abordagens baseadas em assinatura, semelhantemente ao
software antivírus. Esta abordagem funciona bem em muitos casos e é menos provável de gerar
falsos positivos do que as técnicas estatísticas. Como nos programas antivírus, o IDS baseado em
rede precisa ser atualizado freqüentemente e pode perder um ataque de invasão. As abordagens
estatísticas desenvolvem perfis de tráfego "normal" numa rede, que são utilizados para identificar
atividade não usual. Diferentemente das abordagens baseadas em assinatura, o IDS estatístico
não necessita de atualizações de assinatura. Como é muitas vezes o caso em TI, uma combinação
das duas abordagens pode produzir melhores resultados do que usar só uma delas.
Os IPSs também são baseados em hospedeiro (host) e baseados em rede. O IPS baseado em host
(HIPS) trabalha para paralisar o malware e os processos no servidor ou estação de trabalho
comprometida. O HIPS utiliza assinaturas e padrões para identificar atividade não usual.
Políticas especificam como o HIPS responde a essa atividade. As respostas podem incluir o
encerramento de processos e o bloqueio do tráfego de rede de ou para um dispositivo.

50
 Capítulo 2

O IPS baseado em rede (NIPS) funciona no nível do firewall para inspecionar pacotes e
identificar seqüências de pacotes suspeitos. Depois que um NIOS identifica o pacote suspeito, o
pacote bem como quaisquer outros pacotes na seqüência são descartados. A identificação correta
de pacotes maliciosos é um desafio, e a identificação errônea de uma seqüência de pacotes
legítima pode impedir tráfego válido e a funcionalidade global do sistema.

 A integração de HIPS e NIPS com sistemas de Gestão de Identidade permite controles de acesso
refinados acoplados com a capacidade e responder imediatamente a violações das políticas de
segurança. Tanto o antivírus como o IDS desempenham um papel em evitar que os sistemas se
tornem zumbis para DoS ou outros ataques ilícitos sobre outros sistemas. Mais uma vez, integrar e
coordenar múltiplos componentes de segurança é um elemento essencial da gestão eficaz da
segurança.

Filtragem de Conteúdo
As organizações que dependem intensamente da Internet podem encontrar muitos produtos nas
categorias de antivírus, anti-spam e filtragem de código. Estes produtos geralmente enfocam um
nicho funcional e operam independentemente um do outro. Para reduzir o encargo administrativo
de geris todas essas soluções pontuais, uma solução integrada, customizável, e com filtragem de
conteúdo é recomendada. A filtragem de spam deverá utilizar uma abordagem de múltiplas
camadas para diferenciar entre spam e e-mails válidos, tais como listas brancas e listas negras
gerais e individuais, heurística, estatística e listas de "buraco negro" em tempo real.

Gerindo salvaguardas contra ameaças

Para a gestão eficaz da segurança, salvaguardas múltiplas contra ameaças devem ser utilizadas
no ambiente de rede de hoje em dia, e elas devem ser aplicadas em múltiplos pontos através da
organização. Considere o caso da gestão de conteúdo. Documentos são criados, modificados e
trocados constantemente dentro e através das organizações. Se os documentos forem trocados
através de e-mails, eles estarão quase que certamente sujeitos a verificação antivírus. Mais e mais
organizações, no entanto, estão mudando para sistemas de gestão de documentos orientadas para
base de dados para controlar a proliferação de cópias múltiplas de documentos e melhorar a
colaboração. Como estes documentos estão se tornando uma parte integrante da infra-estrutura
de TI, mecanismos de segurança, tais como verificações antivírus, deverão ser incluídos em sua
funcionalidade central.
A definição das salvaguardas de segurança deve também expandir para além das fronteiras
tradicionais. O spam é um problema crescente, e sistemas de filtragem de e-mail deverão ser
incluídos na gestão da segurança. A filtragem de URL não é apenas um controle para impedir
que os empregados chequem o resultado de competições esportivas durante o horário de
expediente. Vulnerabilidades conhecidas nos navegadores Web podem permitir que código
malicioso execute através de scripts embutidos em documentos HTML. A gestão da segurança
deve não somente enfocar o afastamento dos "bandidos" mas também evitar que os "mocinhos"
dentro da organização se tornem presas para novos ataques.

Melhores práticas para controlar o impacto da ameaça

Através do restante deste manual, descrições detalhadas e diretrizes são fornecidas para tipos
específicos de salvaguardas, tais como controles de acesso e Gestão de Identidade. O próximo
51
 Capítulo 2

capítulo incluirá informações específicas sobre a gestão da vulnerabilidade para sistemas

Windows e Linux. Este capítulo será encerrado com uma visão geral das melhores práticas para
salvaguardar uma infra-estrutura de TI das ameaças descritas anteriormente.

Mantenha o software antivírus atualizado

Manter o software antivírus atualizado é uma tarefa trivial numa única máquina ou mesmo em
uma dúzia delas. Porém, lidar com centenas ou milhares de desktops, laptops, e usuários móveis
é uma outra história. O desenvolvimento de políticas bem-definidas para estabelecer normas
específicas, inclui:
 O tipo de software antivírus utilizado
 A freqüência das atualizações
 As restrições sobre o acesso remoto, por exemplo o acesso é negado se uma varredura
completa não tiver sido executada nas últimas 72 horas e se o arquivo de assinatura não
tiver sido atualizado com a última versão
 Os usuários de laptop que se conectam a redes externas, inclusive redes domésticas,
devem executar um firewall pessoal
Ferramentas de configuração e gestão de versão, tais como o Servidor de Gestão de Sistema
(SMS) da Microsoft, podem auxiliar no monitoramento do cumprimento, inventário do software,
descoberta de rede, e relatórios,

Filtre conteúdo inapropriado

Utilize software abrangente de filtragem de conteúdo e mantenha-o atualizado para combater os
últimos truques de vírus e spammer. Além disso, crie políticas e diretrizes para sua organização,
tais como o e-mail de massa deve ser tratado. Defina expectativas apropriadas para os usuários
finais, e proporcione mecanismos de feedback, tal como um endereço de e-mail para o qual a
correspondência falsamente identificada como spam deverá ser enviada. Acompanhe ouvindo o
feedback de seus usuários finais.

Configure firewalls
As ameaças e vermes combinados estão tirando proveito de portas vulneráveis nas redes das
organizações. Firewalls deverão ser configuradas para fechar portas não explicitamente
necessárias para as operações empresariais. Fazer isto pode ajudar a evitar que atacantes
explorem backdoors introduzidas através de alguma outra vulnerabilidade ou que lancem um
ataque de DoS a partir de seus servidores.
As firewalls pessoais são especialmente importantes para usuários móveis. Pessoal de vendas
que conectam seus laptops a redes de cliente pode ficar exposto a redes com um hospedeiro de
vulnerabilidades que foram tratadas nas redes de suas próprias companhias. Uma dessas pessoas
de vendas pode inadvertidamente introduzir um verme da rede corporativa que teria sido barrado
por uma firewall.

52
 Capítulo 2

Utilize prevenção de invasão

Tanto a detecção de invasão e prevenção baseada em host como baseada em rede pode
identificar atividade maliciosa que não é evitada por sistemas de antivírus e firewall. A
prevenção de invasão provê uma peça adicional do "quebra-cabeças" da segurança empresarial
que não deverá ser negligenciada.

Desenvolva, mantenha e fiscalize políticas de segurança

Os gerentes de rede, administradores de sistemas, pessoal de Help-desk, e usuários finais devem
todos trabalhar com base no mesmo conjunto de regras para gestão da segurança. Políticas e
procedimentos servem para assegurar que este seja o caso. As necessidades organizacionais irão
variar, mas alguns tópicos da política a considerar são:
 Uso aceitável
 Criptografia
 Antivírus
 Firewalls pessoais
 Auditoria e varredura de vulnerabilidade
 Resposta a incidência
 Filtragem de URL
 Filtragem de e-mail
 Políticas de senha
 Retenção de e-mail
 Comunicação inter-rede sem fio

 For example policies and templates, see the SANS Security Policy Project at
http://www.sans.org/resources/policies/.

Resposta integrada
Sistemas de segurança bem-integrados e com camadas múltiplas são o melhor método de
controlar ameaças à empresa. As peças individuais do mosaico da segurança foram descritas
através deste capítulo. Para ilustrar como estas peças se encaixam, considere o exemplo seguinte
de um provável incidente de segurança e como ele é idealmente tratado.
Considere uma empresa bancária fictícia, a Universal Financial Services. A UFS é um banco de
varejo com um serviço online ativo. A empresa utiliza segurança da informação em camadas,
incluindo dois tipos de sistemas antivírus – um em firewalls e o outro de servidores de e-mail,
Gestão de Identidade, HIPS, e varredura de vulnerabilidade. Mesmo esta abordagem "no estado
da arte" não pode garantir uma eliminação de todas as brechas.

53
 Capítulo 2

Um empregado baixa um e-mail contendo um vírus polimórfico. O vírus é bem novo e não exibe
características identificadas pelo software antivírus e assinaturas. O vírus passa tanto pela
firewall como pelos sistemas antivírus baseados em e-mail. O vírus é na realidade uma ameaça
combinada com várias peças de malware, incluindo um verme, u programa de monitoramento de
toque de tecla, e um cliente IRC. Uma vez ultrapassados a firewall e os filtros antivírus, o vírus
decriptografa e desempacota a carga, infectando a estação de trabalho do empregado.
O cliente IRC executa e tenta estabelecer uma conexão com um canal IRC no servidor do
atacante. Se bem-sucedido, o cliente IRC baixará atualizações do vírus e instruções para ações
posteriores. Uma firewall pessoal na estação de trabalho desabilitou os protocolos IRC, de modo
que a tentativa de comunicação falha.
O verme tenta replicar explorando uma vulnerabilidade pouco conhecida no sistema operacional
do desktop. O fornecedor não proveu um patch para esta vulnerabilidade em particular, de modo
que o verme dissemina rapidamente para outras máquinas na rede. O programa de obtenção de
toque de tela também começa a executar, tentando encontrar nomes de usuário, senhas, números
de conta e outras informações identificadoras. O HIPS detecta atividade não usual e verifica os
privilégios do usuário no sistema de Gestão de Identidade. O usuário não tem acesso a
aplicativos que gerariam o tráfego de rede anômalo ou monitorar I/O de teclado (de maneira
similar a um programa de captura de toque de tecla), então o HIPS fecha o processo. Um aviso é
enviado ao administrador de sistema identificando a estação de trabalho comprometida. O
administrador desconecta a estação de trabalho da rede, atualiza o software antivírus, e erradica o
malware.

Resumo
As ameaças à segurança da informação são difundidas, originando-se tanto de fora como de
dentro de uma organização. A história da segurança de computador é uma série de ameaças
emergentes seguidas por respostas de novas salvaguardas, que são, por sua vez, seguidas de um
novo conjunto de ameaças que frustram essas salvaguardas. A disponibilidade de conjuntos de
ferramentas de ataque exacerba o problema tornando o desenvolvimento de malware quase fácil.
Hoje, as ameaças combinadas associam múltiplos tipos de ataques dentro de cargas singelas,
tornado-as mais perigosas. Ao mesmo tempo, detectar esse malware é mais difícil devido a
técnicas tais como mutação de vírus.
A resposta apropriada a essas ameaças é uma abordagem unificada da gestão da segurança que
utiliza a ampla base de antivírus, firewall e IDSs em conjunto com políticas de segurança bem-
definidas. Este tipo de abordagem com múltiplas camadas e integrada é o fundamento para um
regime eficaz de gestão da segurança que será desenvolvido através da parte restante deste
manual.

54