Escolar Documentos
Profissional Documentos
Cultura Documentos
i
Declaração de direitos autorais
ii
Capítulo 2
26
Capítulo 2
Atacantes
Violam SO
Administradores
Usam Utilitários
do SO para
Detectar Violação
Atacantes
Desenvolvem
Cavalos de Tróia
para Substituir
Utilitários do SO Administradores Usam
Outros Utilitários do SO
para Detectar Violação e
Procurar Cavalos de
Tróia e Arquivos de
Configuração
Para mais informações sobre a antiga história das invasões do UNIX e da evolução dos root kits,
consulte Dave Dittrich’s "Root Kits and Hiding Files/Directories/Processes After a Break-in” em
http://staff.washington.edu/dittrich/misc/faqs/rootkits.faq.
Autores de Vírus
Lançam Vírus de E- Antivírus Detecta
mail Padrões de Código
Específicos
Autores de Vírus
Criptografam o Payload do
Vírus e Incorporam Rotinas
de Decriptografia O Antivírus Detecta
Rotinas de
Decriptografia
Autores de Vírus
Desenvolvem Mecanismos
Metamórficos para Variar Desenvolvedores de
Características Superficiais Antivírus Criam Novas
de Vírus Técnicas (como
Monitoramento de
Comportamento)
Figura 2.2: O padrão dinâmico de ataque/ resposta visto nos primeiros tipos de ataques continua até hoje.
Os vírus de e-mail evoluíram assim para métodos de ataque mais sofisticados. Alguns vírus,
conhecidos como ameaças combinadas (blended), utilizam métodos múltiplos para violar um
sistema, e uma vez dentro, lançam múltiplos tipos de ataques. O bem conhecido vírus de e-mail
Mydoom, por exemplo, emprega vários componentes de malware:
Uma backdoor instalada através do Windows Explorer para lançar um DDL que
presumivelmente "ouve", numa porta disponível, as instruções do autor do vírus
Um ataque de negação distribuída de serviço (DDoS) contra http://www.sco.com
(Mydoom.B inclui um ataque de DDoS em http://www.microsoft.com)
Uma rotina para colher endereços de e-mail
Uma substituição hospeda arquivo para evitar que o computador alcance uma empresa de
antivírus e outros websites de fornecedor.
28
Capítulo 2
29
Capítulo 2
Ataques ao sistema
A Divisão de Crimes Cibernéticos do Departamento de Justiça dos EUA tem uma infinidade de
condenações por furto de informações, incluindo:
Um gerente de TI condenado por distribuir software, jogos de computador, filmes, e
músicas, no valor de $2,2 milhões, todos protegidos por direito autoral.
Um atacante de 25 anos de idade condenado por penetrar na Axicom, uma empresa que
gerencia informações de cliente para companhias de cartão de crédito, bancos, varejistas
e outras empresas. O custo da invasão e furto é estimado em $5.8 milhões.
A condenação de Alexey Ivanov por conspiração, invasão em computador, fraude de
computador, fraude de cartão de crédito, fraude telefônica, e cobranças de extorsão
relativa ao seu ataque a dezenas de servidores para furtar nomes de usuário, senhas,
informações de cartão de crédito e outros dados financeiros. O prejuízo total é de
aproximadamente $25 milhões.
Os criminosos furtam informações de inúmeras maneiras. Como alguns dos exemplos anteriores ilustram,
a reprodução de software com direito autoral, penetração em sistemas para furtar informações de dados
financeiros, e furto de dados de transações são todos eles métodos de furto. Sem controles de acesso
apropriados instalados, o furto interno, um método de furto com tecnologia relativamente baixa, pode ser
bastante bem-sucedido. Por exemplo, um esquema de furto por pessoa de dentro foi tão eficaz que O
Escritório da Controladoria da Moeda do Tesouro dos Estados Unidos emitiu uma advertência para os
bancos sobre gangues organizadas recrutando caixas de banco para ajudá-las a fazer saques fraudulentos e
a descontar cheques do governo furtados. (O texto integral da advertência está disponível em
http://www.occ.treas.gov/ftp/alert/2002-4.txt).
30
Capítulo 2
O furto de informações financeiras também cria questões de cumprimento legal com respeito à Lei
Sarbanes Oxley – SOX, e à Lei Graham Leach Billey – GLBA. O descumprimento destas e de outras
regulamentações específicas para a indústria acarreta um alto custo para as organizações.
A proteção contra ameaças de direito autoral requer sistemas abrangentes de gestão de direitos
digitais. A prevenção de violações de sistema depende de políticas de segurança bem-definidas e
fiscalizadas e de salvaguardas de operação. Em muitas situações, técnicas de criptografia são
também requeridas para prevenir furto de informações. Por exemplo, armazenar senhas dentro de
um sistema operacional ou servidor de entrada única em sistema (single sign-on – SSO),
configurar um canal seguro, ou rede virtual privada (VPN), sobre a Internet, tudo dependendo de
criptografia.
31
Capítulo 2
Ataques criptográficos
A criptografia é utilizada para cruzamento de informação, de modo que somente o remetente e o
destinatário pretendido possam acessar a informação. Eu ma perspectiva de gestão da segurança,
os ataques criptográficos são geridos de várias maneiras. (Para detalhes técnicos, consulte a barra
lateral "Por dentro dos ataques criptográficos").
No nível mais básico, políticas eficazes de senha são definidas e fiscalizadas para minimizar a
chance de que atacantes descubram as senhas. Além de evitar acesso não autorizado a um ativo,
é preciso também assegurar que sistemas fraudulentos não aparentem ser recursos legítimos. Por
exemplo, um funcionário descontente de um banco poderá estabelecer um website que tenha uma
URL (localizador uniformizado de recursos) semelhante ao website do banco e pareça ser um
legítimo serviço bancário online. Como os usuários devem fazer para saber a diferença?
Certificados digitais confiados a terceiros utilizam informação criptografada para validar a
identidade de um site e evitar que alguém adultere com o certificado.
A comunicação entre duas partes depende de que ambas as partes tenham informações que
permitam a elas descruzar as mensagens da outra parte e evitar que outros façam o mesmo. Gerir
esta informação, também conhecida como chave, é uma função essencial da gestão da segurança.
Figura 2.3: O uso bem-sucedido da criptografia depende de impedir que os atacantes furtem ou descubram
as chaves de criptografia e decriptografia.
Ataques de texto cifrado
Inúmeros ataques são baseados no fato de que o atacante tenha cópias de uma ou mais mensagens de
texto comum e de texto cifrado. Num ataque de texto cifrado somente, o atacante tenta descobrir a
chave de criptografia analisando uma quantidade de mensagens codificadas. Quanto mais longa a chave
de criptografia, mais difícil será atacá-la. Chaves curtas, tais como a chave DES de 56 bits, são
facilmente rompidas; as chaves mais longas, como a chave de 168 bits utilizada no algoritmo DES triplo,
são atualmente consideradas seguras contra trincas. Variações do ataque somente de texto cifrado
incluem o ataque de texto comum conhecido, o ataque de texto comum escolhido e o ataque de texto
cifrado escolhido.
32
Capítulo 2
Mensagem para
Assistente é
Interceptada
Executivo
Atacante Envia
Mensagem Modificada Atacante
Assistente Recupera
Chave Pública do
Executivo para
Decriptografar Mensagem
Assistente
Assistente Verifica
Assinatura com a Chave
Pública do Executivo e
Descobre o Ataque
Infra-estrutura da
Chave Pública
Figura 2.4: Assinaturas digitais ou resenhas de mensagens criptografadas com a chave de criptografia
privativa do remetente podem evitar ataques de homem no meio.
33
Capítulo 2
Ataques replay
Um ataque replay reutiliza informações capturadas por um "fuçador" ou outro dispositivo passivo. Por
exemplo, um "fuçador" pode capturar pacotes contendo informações de autenticação que são usadas
mais tarde para acessar um sistema. Os ataques replay podem ser prevenidos utilizando IDs exclusivos
de componente de sessão e mensagem. Os remetentes anexam estes IDs a mensagens quando as
mensagens são enviadas, e os destinatários registram estes IDs para deferência futura. Quando um
destinatário recebe uma mensagem ele ou ela verifica se os IDs de componente de sessão ou
mensagem não foram utilizados anteriormente; se foram, a mensagem sofreu replay. O formato de
cabeçalho Encapsulating Security Payload (ESP) no protocolo de IP (versões 4 e 6) utiliza este tipo de
mecanismo anti-replay.
Ataques dicionário
As senhas são geralmente criptografadas com funções de uma via só que são fáceis de computar mas
difíceis, se não impossíveis, de reverter. Quando um atacante furta um arquivo de senhas, em vez de
perder tempo tentando decriptografar o arquivo, o atacante poderá comparar o arquivo com uma lista se
senhas conhecidas que foram criptografadas com a mesma função de uma via só (veja Figura 2.5). Este
método é um ataque dicionário.
Para evitar ataques dicionário vem-sucedidos, os administradores de sistemas e profissionais de
segurança recomendam utilizar senhas difíceis de adivinhar. Estas geralmente incluem senhas que têm
as seguintes características:
Políticas de senha, com exigência de cumprimento como estas, podem minimizar a probabilidade de um
ataque dicionário bem-sucedido.
Figura 2.5: Ataques dicionário são bem-sucedidos quando são permitidas senhas mal escolhidas.
34
Capítulo 2
Ataques de DoS
Os ataques de DoS procuram privar os usuários de acesso a recursos do sistema. Tipicamente,
este ataque é efetuado sobrecarregando um servidor com solicitações para um recurso, tal como
largura de banda, conexões, espaço em disco, memória e assim por diante. Outra forma deste
ataque limita acesso aos serviços alterando informações de configuração.
Em fevereiro de 2000, a Yahoo!, Buy.com, EBay, Amazon.com, e CNN.com experimentaram
ataques de DoS por um período de 2 dias. Os sites foram inundados com tráfego junk (lixo) de
rede, uma técnica denominada packet flooding (inundação de pacotes), de modo que os usuários
legítimos não podiam acessar aqueles sites. Outra forma desse tráfego de lixo são as solicitações
espúrias para conexão.
Estas solicitações de conexão utilizam endereços de retorno falsos, assim, quando o servidor
responde, ele não pode encontrar o servidor que iniciou a solicitação. O servidor atacado manterá
a conexão aberta para a solicitação espúria por algum período de tempo (por exemplo, até 1
minuto) antes de fechá-la. Quando milhares dessas conexões espúrias são feitos, o servidor
esgota seu conjunto (pool) de conexões, o que impede o acesso por outros (veja Figura 2.6).
35
Capítulo 2
Figura 2.6: Os ataques de DoS sobrecarregam servidores com tráfego espúrio e solicitações de conexões,
esgotando finalmente os recursos de um servidor.
Uma versão mais sofisticada deste ataque é o ataque de DDoS (veja Figura 2.7). Este tipo de
ataque pode ocorrer em duas fases: Primeiro, o originador do ataque coloca uma cópia do
programa DoS num sistema vulnerável. Estes programas DoS são projetados para lançar um
ataque coordenado num momento específico ou após um evento em particular. Os ataques de
DDoS são mais difíceis de parar do que os ataques tradicionais de DoS devido às múltiplas
fontes de ataque. Também é difícil rastrear o ataque de volta até o originador.
36
Capítulo 2
Sistema Atacante 1
Ataques de
Sistema Atacante n Inundação de Pacote
Podem Consumir
toda a Largura da
Banda Disponível
Figura 2.7: Os ataques de DDoS utilizam sistemas comprometidos ou "zumbis" para lançar um ataque
coordenado.
Outra forma de ataques de DoS altera as informações de configuração nas máquinas alvo. Em
máquinas Windows, este ataque pode envolver a modificação de configurações de registro ou a
alteração de arquivos de configuração de rede. Por exemplo, no caso do recente vírus de e-mail
Mydoom, um componente de DoS modificou o arquivo residente em hosts para mapear nomes
de domínio de fornecedor de antivírus para um endereço de IP espúrio, 0.0.0.0. Ataques
semelhantes podem ocorrer em sistemas Linux e UNIX.
Os ataques DoS podem vir de dentro da organização. O ataque da "bomba bifurcada" (fork
bomb), por exemplo, desova processos até que os recursos do sistema sejam consumidos. Outra
técnica é gerar repetidamente erros de sistema até que os arquivos de eventos fiquem cheios e o
espaço de disco seja consumido.
37
Capítulo 2
Evitar qualquer tipo de ataque de DoS é difícil. Porque os atacantes de DoS mascaram endereços
de IP, é difícil identificar a fonte e evitar que a fonte continue o ataque. Algumas ferramentas de
inundação de pacote de DoS alteram as portas de fonte e de destino em pacotes para tornar a
detecção e supressão mais difíceis. Os programas de DoS estão se tornando mais sofisticados,
utilizando protocolos alternativos tais como o Internet Relay Chat (IRC), e incorporando
mecanismos de auto-replicação. O verme SQL Slammer, por exemplo, explorou uma
vulnerabilidade na base de dados do servidor Microsoft SQL para se espalhar em poucos minutos
através de grande parte da Internet.
Para evitar ataques de DoS, "fuçadores" de detecção de invasão e de rede podem detectar
padrões recorrentes em pacotes de rede e bloquear esses pacotes numa barreira (firewall), assim
protegendo os sistemas que estão dentro da barreira. ´Porém, os recursos ainda ficam
indisponíveis para usuários externos legítimos.
Para uma descrição da linha do tempo da disseminação do vírus Slammer através da Internet,
consulte de Paul Boutin "Slammed: Uma visão interna do verme que quebrou a Internet em 15
Minutos”, em Wired, julho de 2003 (http://www.wired.com/wired/archive/11.07/slammer.html).
Como observado anteriormente, a distinção entre ameaças internas e externas não tem mais
utilidade. É melhor distinguir os usuários por seu nível de acesso legítimo. Desenvolvedores e
administradores de sistema têm altos níveis de acesso. Estes papéis demandam altos níveis de
controles, monitoramento e fiscalização de política. O mesmo mecanismo de controle de acesso que
detém atacantes pode manter restrições apropriadas sobre usuários legítimos.
38
Capítulo 2
Para mais informações sobre as vulnerabilidades conhecidas das primeiras versões BIND, consulte
a matriz de segurança BIND, em: http://www.isc.org/index.pl?/sw/bind/.
39
Capítulo 2
Domínio A Domínio B
3. Servidor
FTP do
Domínio A
Transfere
Arquivo para
Servidor FTP
2. Servidor do Domínio B
1. Servidor Servidor FTP
FTP Tenta DNS Responde Servidor FTP
Acessar com Endereço
ftp.b.com de IP em
Cache
Servidor DNS
Estação de
Trabalho do
Atacante do DNS
Figura 2.8: A imitação de domínio reencaminha o tráfego de seu alvo legítimo para um terceiro.
40
Capítulo 2
Vírus
Os vírus vêm sendo há muito tempo um problema na segurança de computador. Com o advento
do PC, os vírus anteriores foram disseminados infectando disquetes utilizados em vários PCs.
Hoje, o e-mail, Internet chat, e outros protocolos são o modo mais comum de transmissão. Os
novos canais de transmissão são uma das razões da rápida disseminação dos vírus; outro motivo
é a própria natureza evolutiva dos vírus. Os vírus se tornarem cada vez mais complexos e mais
difíceis de detectar. As categorias gerais de vírus, em ordem crescente de complexidade, são:
Vírus estáticos, não criptografados
Vírus criptografados
Vírus polimórficos
Estas categorias representam as técnicas utilizadas pelos autores de vírus para evitar detecção.
Estas técnicas podem ser utilizadas com diferentes tipos de vírus, incluindo inicialização (boot),
arquivo e macro-vírus, que variam por método de ataque.
Independentemente de como um vírus mascara sua identidade ou como ele objetiva um sistema,
todos eles têm três componentes:
Carga
Método de disseminação
Condição ou data de disparo
Uma carga é o código que é executado uma vez que o vírus seja disparado e pode ser tão simples
quanto exibir uma mensagem ou tão maliciosa quanto excluir arquivos. Os métodos de
disseminação variam por tipo de vírus. Por exemplo, alguns vírus macro do Microsoft Word
disseminam infectando o gabarito normal.dot. Alguns vírus de e-mail recentes disseminaram
enviando cópia deles mesmos a endereços encontrados num catálogo de endereços de um usuário
infectado. Muitos vírus são disparados quando um usuário abre um anexo infectado; outros são
ativados numa data pré-definida.
Vírus criptografados
Seguindo o padrão observado na abertura deste capítulo, os autores de vírus responderam às
técnicas de detecção antivírus com técnicas para frustrar a simples coincidência de padrão.
Criptografar o vírus é o primeiro passo (veja Figura 2.9).
41
Capítulo 2
Payload
Criptografado
Chave de
Decriptografia
Código de
Decriptografia
Figura 2.9: Os vírus criptografados precisam portar o código de decriptografia e a chave de decriptografia
juntamente com a carga do vírus.
Um arquivo criptografado ainda tem padrões exclusivos que podem ser utilizados por varredura
(scanning) de assinatura de software antivírus. Os autores de vírus evitaram isto escolhendo
chaves de criptografia aleatórias e diferentes métodos de criptografia. O calcanhar de Aquiles
desta técnica é que o código de decriptografia precisa ser incluído junto com o vírus. Os
scanners antivírus são capazes de varrer em busca daquele código e identificar os vírus. Alguns
vírus, tais como o vírus "Baleia" (Whale), utilizam vários esquemas de criptografia e, portanto,
códigos de decriptografia diferentes. Os scanners antivírus necessitam de uma assinatura
exclusiva para cada tipo de esquema de decriptografia a fim de detectar este vírus.
Vírus polimórficos
Os atacantes fizeram o movimento seguinte. Eles criaram vírus que mudam com cada infecção
utilizando um dispositivo de mutação. O mecanismo de mutação modifica o código do vírus de
maneira tal que ele altera o arquivo binário sem alterar o comportamento dos programas (veja
Figura 2.10). As técnicas típicas incluem:
Trocar a localização de instruções independentes
Acrescentar instruções inúteis tais como Nenhuma Operação (NOP)
Utilizar diferentes instruções que têm o mesmo efeito, por exemplo "subtrair 2 de A" ou
"adicionar -2 a A".
Qualquer combinação destas técnicas pode ser utilizada qualquer número de vezes, tornando
impossível depender de scanning de assinatura para identificar vírus confiavelmente. Novas
técnicas têm de ser desenvolvidas para identificar vírus polimórficos.
42
Capítulo 2
Payload
Criptografado
Mecanismo de
Mutação
Chave de
Decriptografia
Código de
Decriptografia
Figura 2.10: Os vírus polimórficos incluem dispositivos de mutação para variar o vírus conforme ele se
propaga.
O conhecimento sobre técnicas de autoria de vírus se espalha do mesmo modo que acontece com
outros tópicos. A primeira pessoa a escrever um mecanismo de mutação para um vírus
polimórfico enfrentou uma barreira muito mais alta do que os autores de vírus subseqüentes
enfrentaram. Os mecanismos de mutação, tais como o Mutation Engine (MtE) e o Triden
Polymorphic Engine (TPE), foram empacotados em kits de ferramentas para permitir que
qualquer autor de vírus acrescente funcionalidade polimórfica. Assim, mesmo autores não
sofisticados de vírus podem criar vírus que não são detectados por técnicas de scanning por
assinatura.
Para principiantes, há kits de vírus para gerar vírus com uma gama de características. Estes kits
dão aos usuários opções para customizar os vírus gerados, tais como nível de dano e condições
de disparo. Felizmente, o código gerado a partir de kits de vírus anteriores contém código
comum que é detectável por software antivírus de varredura por assinatura.
Para mais informações sobre kits de construção de vírus, consulte, de Howard Fuhs, "Kits de
Construção de Vírus" em: http://www.fuhs.de/en/pub/virconkits.shtml.
O malware está crescendo, tanto na sofisticação de técnicas específicas, como vírus polimórficos
modo na amplitude das formas especializadas, que agora incluem programas maliciosos para
monitorar toques de tecla e exibições de vídeo.
Spam
O Spam cresceu rapidamente até se tornar uma ameaça importante para a desconexão se
serviços, entupir sistemas de e-mail, sufocar largura de banda de rede, utilizando espaço de
armazenamento valioso, e aumentando os custos de central de atendimento. O IDC analista
estima que até 70% do e-mail nos Estados Unidos é spam e que o custo para proteger uma firma
de 14.000 empregados contra o spam pode chegar a $245.000, e que este número está crescendo.
Os spammers estão constantemente usado novos truques para atravessar filtros existentes e as
organizações são desafiadas a reduzir a quantidade de spam enquanto asseguram que os e-mails
comerciais válidos possam passar. A legislação governamental tem sido uma avenida percorrida
para acabar com o assalto de spam, mas a sua eficácia é questionável. A Lei de Controle do
Assalto de Pornografia e Marketing Não Solicitados de 2003 (CAN SPAM), e a lei anti-spam
que entrou em vigor em 1º de janeiro de 2004, não parecem ter reduzido substancialmente a
quantidade de spam.
Comprometer
Configuração do SO
Conectar-se a
Serviços de
Encerrar Processos
Mensagem para
do Software Antivírus
Comandos de
Backdoor
Figura 2.11: As ameaças combinadas associam múltiplas formas de malware dentro de uma única carga.
47
Capítulo 2
48
Capítulo 2
com outras ameaças, proteger contra phishing requer uma combinação de tecnologia, pessoal e
processos.
Além disso, as companhias com serviços online deverão educar os clientes sobre as políticas da
companhia para atualizar informações de contas ou para solicitar informações pessoais. Políticas
de interação com o cliente claramente comunicadas precisam ser regularmente conduzidas com
um processo que ajude os clientes a alertar facilmente e com segurança as organizações quando
possíveis desonestidades ocorrerem.
49
Capítulo 2
Gerindo ameaças
A primeira parte deste capítulo descreveu a complexidade e variedade de ameaças que a
organização enfrenta. Esta seção explora como gerir essas ameaças.
50
Capítulo 2
O IPS baseado em rede (NIPS) funciona no nível do firewall para inspecionar pacotes e
identificar seqüências de pacotes suspeitos. Depois que um NIOS identifica o pacote suspeito, o
pacote bem como quaisquer outros pacotes na seqüência são descartados. A identificação correta
de pacotes maliciosos é um desafio, e a identificação errônea de uma seqüência de pacotes
legítima pode impedir tráfego válido e a funcionalidade global do sistema.
A integração de HIPS e NIPS com sistemas de Gestão de Identidade permite controles de acesso
refinados acoplados com a capacidade e responder imediatamente a violações das políticas de
segurança. Tanto o antivírus como o IDS desempenham um papel em evitar que os sistemas se
tornem zumbis para DoS ou outros ataques ilícitos sobre outros sistemas. Mais uma vez, integrar e
coordenar múltiplos componentes de segurança é um elemento essencial da gestão eficaz da
segurança.
Filtragem de Conteúdo
As organizações que dependem intensamente da Internet podem encontrar muitos produtos nas
categorias de antivírus, anti-spam e filtragem de código. Estes produtos geralmente enfocam um
nicho funcional e operam independentemente um do outro. Para reduzir o encargo administrativo
de geris todas essas soluções pontuais, uma solução integrada, customizável, e com filtragem de
conteúdo é recomendada. A filtragem de spam deverá utilizar uma abordagem de múltiplas
camadas para diferenciar entre spam e e-mails válidos, tais como listas brancas e listas negras
gerais e individuais, heurística, estatística e listas de "buraco negro" em tempo real.
Configure firewalls
As ameaças e vermes combinados estão tirando proveito de portas vulneráveis nas redes das
organizações. Firewalls deverão ser configuradas para fechar portas não explicitamente
necessárias para as operações empresariais. Fazer isto pode ajudar a evitar que atacantes
explorem backdoors introduzidas através de alguma outra vulnerabilidade ou que lancem um
ataque de DoS a partir de seus servidores.
As firewalls pessoais são especialmente importantes para usuários móveis. Pessoal de vendas
que conectam seus laptops a redes de cliente pode ficar exposto a redes com um hospedeiro de
vulnerabilidades que foram tratadas nas redes de suas próprias companhias. Uma dessas pessoas
de vendas pode inadvertidamente introduzir um verme da rede corporativa que teria sido barrado
por uma firewall.
52
Capítulo 2
For example policies and templates, see the SANS Security Policy Project at
http://www.sans.org/resources/policies/.
Resposta integrada
Sistemas de segurança bem-integrados e com camadas múltiplas são o melhor método de
controlar ameaças à empresa. As peças individuais do mosaico da segurança foram descritas
através deste capítulo. Para ilustrar como estas peças se encaixam, considere o exemplo seguinte
de um provável incidente de segurança e como ele é idealmente tratado.
Considere uma empresa bancária fictícia, a Universal Financial Services. A UFS é um banco de
varejo com um serviço online ativo. A empresa utiliza segurança da informação em camadas,
incluindo dois tipos de sistemas antivírus – um em firewalls e o outro de servidores de e-mail,
Gestão de Identidade, HIPS, e varredura de vulnerabilidade. Mesmo esta abordagem "no estado
da arte" não pode garantir uma eliminação de todas as brechas.
53
Capítulo 2
Um empregado baixa um e-mail contendo um vírus polimórfico. O vírus é bem novo e não exibe
características identificadas pelo software antivírus e assinaturas. O vírus passa tanto pela
firewall como pelos sistemas antivírus baseados em e-mail. O vírus é na realidade uma ameaça
combinada com várias peças de malware, incluindo um verme, u programa de monitoramento de
toque de tecla, e um cliente IRC. Uma vez ultrapassados a firewall e os filtros antivírus, o vírus
decriptografa e desempacota a carga, infectando a estação de trabalho do empregado.
O cliente IRC executa e tenta estabelecer uma conexão com um canal IRC no servidor do
atacante. Se bem-sucedido, o cliente IRC baixará atualizações do vírus e instruções para ações
posteriores. Uma firewall pessoal na estação de trabalho desabilitou os protocolos IRC, de modo
que a tentativa de comunicação falha.
O verme tenta replicar explorando uma vulnerabilidade pouco conhecida no sistema operacional
do desktop. O fornecedor não proveu um patch para esta vulnerabilidade em particular, de modo
que o verme dissemina rapidamente para outras máquinas na rede. O programa de obtenção de
toque de tela também começa a executar, tentando encontrar nomes de usuário, senhas, números
de conta e outras informações identificadoras. O HIPS detecta atividade não usual e verifica os
privilégios do usuário no sistema de Gestão de Identidade. O usuário não tem acesso a
aplicativos que gerariam o tráfego de rede anômalo ou monitorar I/O de teclado (de maneira
similar a um programa de captura de toque de tecla), então o HIPS fecha o processo. Um aviso é
enviado ao administrador de sistema identificando a estação de trabalho comprometida. O
administrador desconecta a estação de trabalho da rede, atualiza o software antivírus, e erradica o
malware.
Resumo
As ameaças à segurança da informação são difundidas, originando-se tanto de fora como de
dentro de uma organização. A história da segurança de computador é uma série de ameaças
emergentes seguidas por respostas de novas salvaguardas, que são, por sua vez, seguidas de um
novo conjunto de ameaças que frustram essas salvaguardas. A disponibilidade de conjuntos de
ferramentas de ataque exacerba o problema tornando o desenvolvimento de malware quase fácil.
Hoje, as ameaças combinadas associam múltiplos tipos de ataques dentro de cargas singelas,
tornado-as mais perigosas. Ao mesmo tempo, detectar esse malware é mais difícil devido a
técnicas tais como mutação de vírus.
A resposta apropriada a essas ameaças é uma abordagem unificada da gestão da segurança que
utiliza a ampla base de antivírus, firewall e IDSs em conjunto com políticas de segurança bem-
definidas. Este tipo de abordagem com múltiplas camadas e integrada é o fundamento para um
regime eficaz de gestão da segurança que será desenvolvido através da parte restante deste
manual.
54