Segurança da Informação

Prof. Edson Ceroni

 Introdução
A Evolução das Ameaças

Durante os
3 primeiros
meses de 2009
1
praticamente
foi atingida
o mesma
quantidade
de ataques do
ano
passado !!!

Fonte : CERT – Centro de Estudos, Resposta e Tratamento de Incidentes

Introdução
A Evolução das Ameaças
OS ATAQUES VIRTUAIS CADA VEZ MAIS SOFISTICADOS.
 A Evolução das Ameaças
Alvo e Escopo O tempo desde a identificação
do Dano da vulnerabilidade até o início
Impacto à da exploração está diminuindo Segundos
Infra-estrutura
Global A Infra-estrutura de WAN deve ser Next Gen
um ponto inteligente de defesa • Ataques à
Infra-
Redes estrutura
Regionais Minutos • Ameaças
Relâmpago
3a Geração • Ataques
Múltiplas
Redes
Dias • Network DoS maciços de
• Blended threat vermes
(worm + virus+ visando
Semanas 2a Geração Cavalo de DDoS
• Vírus de Macro Tróia) • Worm com
Redes • Cavalo de funções
individuais 1a Geração Tróia
• Turbo worms
• Widespread destrutivas
• Vírus de Boot
• E-mail system
• DoS hacking
Computadores
individuais
1980s
1980s 1990s
1990s 2003
2003 Hoje
Hoje
 O Worm Sapphire
ou “SQL Slammer”

11 Minutos
8 após
6 o lançamento
2 0

• Infeção dobrava a cada 8,5 segundos.

• Infectou 75.000 hosts nos primeiros 11 minutos.
• Causou parada de redes, cancelamento de vôos e falhas
em “Caixas Eletrônicos”.
 Introdução
A Evolução das Ameaças

Fonte : Gartner’s Information Security Scenario - 2009

 Produtos e Serviços para Segurança
Venda de Firewalls e
2 Sistemas de IDS/IPS.
“Portas e fechaduras “Vigilância e Alarme”. Sistemas
protegidas” Firewalls: de IDS/IPS (Detecção de Invasão
Appliances e roteadores. e Proteção).
Serviços de Segurança
3 Gerenciada.
“Sala de Segurança CCTV”. Segurança
centralizada, monitoramento, resposta a
incidentes e gerenciamento de políticas.
Serviço de Análise de
1 Vulnerabilidades.
“Guarda de segurança analisando o perímetro”.
Mapeamento das vulnerabilidades nos equipamentos,
sistemas e aplicações (SCANNER).
4 Serviços de VPN
“Transporte Seguro”. Redes
Virtuais privadas (VPN´s).
 Mecanismos de segurança em redes

Há inúmeros mecanismos, dispositivos e equipamentos,

onde os mais comuns são:
• Antí-virus, Anti-Spam, etc.
• Proteção de perímetro (Firewall / roteador)
• IDS
• IPS
 Firewall

Firewall é o dispositivo de interligação de redes que

restringe o tráfego de comunicação de dados de, ou
para, uma rede conectada, isto é, para uma rede interna,
e que protege os recursos dos sistemas contra ameaças
de rede externa
Ambiente de Rede Segura
Características do Firewall

• Network Address Translation (NAT)

• Criptografia (criação de VPNs)
• Auditoria
• Mecanismos de alerta
• Autenticação de usuários
• Balanceamento de carga
• Integração com outros mecanismos de segurança
• (IDS, antivírus, autenticação forte ...)
 Zona desmilitarizada (DMZ)

Corresponde a uma subrede localizada entre a rede externa

e a rede interna

Isola os serviços privados dos serviços públicos
• Páginas da empresa
• Requisições de usuários internos para acessar
a rede externa

Diferentes níveis de segurança
Classificação de Firewalls

• Filtro de pacotes
• Gateway de circuito
• Firewall de camada de aplicação
 Filtro de pacote
O conceito de filtro de pacote é voltado para atuar sobre a camada de
rede e de transporte, dentro do modelo OSI. Os próprios roteadores podem
realizar essa função entre as suas interfaces de rede por meio de recursos
denominados ACL (listas de controle de acesso), recursos que restringem o
acesso da identificação de endereços IP de origem e destino associados a
outros parâmetros, como o protocolo e as portas da origem e destino (tipo da
aplicação).
O firewall permite melhor resultado comparado aos roteadores, pois é
dedicado à segurança das redes.
Permite utilizar mecanismos de organização das regras entre as interfaces
de modo que aquelas mais genéricas e mais importantes podem ser
executadas em ordem prioritária até chegar-se àquelas mais específicas. É
fundamental, nesse tipo de implementação, o controle de funcionalidade das
regras para que não ocorra inconsistência entre elas de acordo com a
seqüência de execução.
Os pacotes submetidos às regras do firewall são, geralmente, aceitos ou
descartados.
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
 Gateway de circuito
O gateway de camada de circuito permite que usuários se comuniquem
com as suas redes internas que são protegidas por um proxy, sendo que
esse proxy esconde os recursos da rede da ação de eventuais invasores.

O gateway de circuito atua na camada de transporte do modelo OSI e

utiliza conexão TCP/IP como um proxy para repassar as conexões de um
lado para outro do firewall, sem, entretanto, interpretar o conteúdo do
protocolo de aplicação dentro do segmento.

Esse firewall é denominado circuito proxy, visto que é ativado entre o

roteador da rede interna de saída e a rede pública (Internet), além de que
apresenta um endereço IP válido (público).
 Firewall de camada de aplicação
Neste modelo é necessário estabelecer duas conexões TCP, sendo a primeira
entre a origem e o firewall e a segunda entre o próprio firewall e o destino. O proxy
intercepta os pacotes recebidos em nome do destino, examina o payload da
aplicação e, então, encaminha os pacotes permitidos para o destino. O gateway de
aplicação realiza uma análise das informações transmitidas entre as aplicações IP.
O fluxo de informação entre o cliente e o servidor o qual, ao passar pelo
firewall, atinge a camada de aplicação para análise da mensagem.
O firewall de camada de aplicação é uma máquina que executa servidor de
proxy a qual não permite o tráfego direto entre redes e efetua registros e auditorias
do tráfego que passa através dele.
Estas aplicações do proxy são componentes de software que funcionam no
firewall e são específicas da aplicação, isto é, somente os protocolos reconhecidos
podem ser examinados. Neste modelos as técnicas de análise são detecção de
assinatura e detecção de ataque de anomalia. Cada proxy deve ser capaz de
compreender os comandos internos do protocolo implementado de acordo com a
respectiva RFC.
A vantagem do gateway de aplicação é a capacidade de utilizar trocas de
chaves de segurança, como senhas e solicitações de serviço presentes dentro da
camada de aplicação.
Firewall de Camada de Aplicação

Firewall Servidor

Cliente

Aplicação Filtro de Aplicação Aplicação

Apresentação Apresentação Apresentação

Sessão Sessão Sessão

Transporte Transporte Transporte

Rede Rede Rede

Enlace Enlace Enlace

Física Física Física

Classificação de Firewall

Tráfego de Aplicações
Inspeção Profunda Operação Protocolos Ataques de Aplicações

Desmontagem, analise e montagem

Inspeção de Estado Rastreamento de Sessões

Pacotes
Filtro de pacotes
Firewall
Fornecedores de Firewalls

• CheckPoint
• Juniper
• NetFilter / Iptables (Linux)
• Ipf (FreeBSD/Linux)
• Microsoft (ISA Server)
• Cisco
• Symantec
• CA
• Astaro
• Aker
 IDS
Sistema de detecção de intruso (Intruso Detection System)
são sistemas automáticos que funcionam em tempo real
que são capazes de analisar o tráfego de rede a procura de
padróes suspeitos.
Podem gerar alertas ou tomar ações em caso de ataques.
Permite identificar invasões baseadas em ataques com
assinaturas pré-definidas.
 Conceitos sobre os ataques
Falso positivo
• Classificação de uma ação como uma possível intrusão,
quando se trata de uma ação legítima

Falso negativo
• Quando ocorre uma intrusão e a ferramenta permite que
ela passe como se fosse uma ação legítima

Subversão
• Quando o intruso modifica a operação da ferramenta de
IDS para forçar a ocorrência de falso negativo
 IPS

Sistema de prevenção de intruso (Intruso Prevent System)

são sistemas automáticos que operam em linha no acesso
a rede.
Permite identificar e prevenir ataques.
 Regitro de eventos

Registro de atividades gerados por programas de

computadores. Os registros relativos aos incidentes de
segurança são normalmente gerados por Firewall, IDS e
IPS.
Pode ocorrer um registro de uma tentativa de invasão
como de um falso positivo.
Como os ataques ocorrem

• Interrupção;

• Modificação;

• Interceptação;

• Fabricação.
Ameaças na Segurança
F D
Fonte de Destino da
Informação Informação
Fluxo Normal

F D F D

I
Interrupção Interceptação

F D F D

M F
Modificação Fabricação
Ataques de interceptação

• Ameaça a Confidencialidade;

• Tentativa de ler ou copiar a informação por alguém que

não tenha sido explicitamente autorizado pelo
proprietário daquela informação;

• Licitantes, Imprensa, Espionagem, Agências de

Inteligência, Curiosos, Países inimigos,etc.
 Ataques de modificação

• Intenção de apagar ou de alguma forma alterar a

informação, sem a permissão do proprietário da
informação.

• Ameaça à Integridade;

• Sabotadores, Fraudadores, Crime Organizado,

Processos Judiciais, etc.
 Ataques de Fabricação

• Ameaça a Autenticidade;

• Intenção de inserir objetos de informações

ilegais no sistema;

• Sabotadores, Agências de Inteligência, Crime

Organizado, etc.
 Ataques de interrupção

• Ameaça a Disponibilidade

• Propósito de degradar ou tornar indisponível ou

inutilizável o acesso à informação sem autorização,
sem permitir ao usuário o acesso aos dados sempre
que deles precisar.

• Hackers, Sabotadores, Malwares,Etc.

Classificação dos ataques

• Acidentais ou Intencionais;

• Passivos ou Ativos;

• Externos ou Internos.
 Principais Ameaças

• Malwares
MALicious softWARES (softwares maliciosos);
Vírus, Worms, Spywares, Adwares e BotNets.

• Linha de ação:
Antivírus (instalação e política de atualização);
Firewall, IPS.
Treinamento e conscientização de pessoal.
 Principais Ameaças

Tangíveis Tangíveis
– Lógicos - Ativos
• Dados armazenados – Informações;
• Sistemas – Sistemas;
• Redes – Móveis;
– Físicos – Equipamentos;
• Computadores – Pessoas etc.
• Sistemas de ar-condicionado
• Prédios
– Pessoal
• Empregados
• Prestadores de serviço

Intangíveis
– Imagem;
– Confiabilidade;
– Marca
Principais Ameaças
Qual é a maior ameaça a segurança dos
bens de uma empresa ?

Segurança

Pessoas Processos Tecnologia

Ataques por aplicação, rede ou híbrido
Ativo ou passivo;
Modo do ataque (tentativas de acesso a senhas, força bruta com
quebra de criptografia).

• Nos ataques ativos, encontram-se negação de serviço (DoS),

negação de serviço distribuído (DDoS), buffer overflow, ataque SYN,
spoofing, Man in the Middle (MITM), TCP/IP hijacking, ataque de
engenharia social, dentre muitos outros.

• Os ataques passivos exploram as vulnerabilidades existentes dos

sistemas, como os sniffngs e scannings.

• Ataques por senhas que são identificadas por dicionários de senhas

ou por descobertas da força bruta e os ataques de códigos e
criptografias realizados por vírus, worms e trojans.
 Classificação dos ataques
• Estouro de pilha

O buffer como uma posição de memória em que um programa

armazena dados das variáveis.
As condições de estouro de pilha podem permitir que códigos
arbitrários sejam remotamente executados com privilégios de sistema
local.
Para o sucesso de um ataque de estouro de pilha é necessário
descobrir uma variável do tipo buffer que esteja vulnerável, verificar no
código fonte os endereços nos quais estão as chamadas de função, bem
como o endereço que marca o início do buffer da variável. Em seguida,
é preciso desenvolver um programa que automaticamente teste a
vulnerabilidade e que insira o código de máquina no buffer o qual deve
conter as instruções para conseguir um shell e, finalmente, estufar a
pilha até atingir a posição do ponteiro de retorno, colocando-se nessa
posição o endereço do início do buffer.
 Man-in-the-middle

O ataque de man-in-the-middle é aquele ataque remoto no qual o atacante se

posiciona entre os elementos que se comunicam, interceptando a
comunicação, para simplesmente capturar tráfego de rede ou até para testar
um dos elementos. A captura de tráfego usualmente inclui as mensagens de
autenticação para permitir a reapresentação de credenciais e para obter
acesso.
Exemplo: O firewall pode interceptar uma tentativa de ataque de
man-in-the-middle quando uma aplicação de VoIP (voz sobre IP) inicia uma
chamada pelo protocolo SIP.
 DoS / DDoS
O objetivo fundamental de um ataque de DoS (negação de serviço) é a
degradação de um serviço, quando tal serviço está hospedado em um simples
servidor ou na infra-estrutura da rede. O DoS pode ter, também, como alvo
dispositivos da rede que prestem serviços, como roteadores, firewalls e
servidores.
A proposta do DoS é sobrecarregar os dispositivos atacados de modo que o
desempenho seja tão baixo que os usuários desistam de utilizar aqueles
serviços. Desse modo, o objetivo de não disponibilizar um serviço ou aplicação
pode ser implementado a partir de um ataque a qualquer camada do modelo
OSI.
O DDoS (negação de serviço por meio de modo distribuído) é um ataque
iniciado em vários computadores e que concentra o bombardeamento em uma
entidade computacional. Tipicamente esse ataque ocorre nas camadas de
rede, de transporte e de aplicação do modelo OSI.
Ataques de DoS e DDoS ocorrem com maior freqüência devido à falha de
segurança do protocolo IP, versão 4. Em função disso, a nova versão do
protocolo (IPv6) inclui a validação de pacotes de origem, bem como o uso de
cabeçalho autenticado. Esse tipo de ataque não oferece o risco de perda de
informações confidenciais, mas pode mascarar outras atividades de ataques
que têm a possibilidade de ocorrer simultaneamente.
 DDoS
Exemplo:
http://idgnow.uol.com.br/seguranca/2009/07/08/rede-de-50-mil-pcs-ataca-sites-do-governo-dos-eua-e-da-coreia-do-
sul/

Rede de 50 mil PCs ataca sites do governo dos EUA e da Coreia do Sul.
Botnet iniciou ataques de negação de serviço no último final de semana, provocando instabilidades e tirando sites do
ar.Uma rede de computadores zumbis - botnet - formada por cerca de 50 mil computadores iniciou ataques contra
sites dos governos norte-americano e coreano no dia 04/07/2009, causando dores de cabeça para negócios que
atuam nos Estados Unidos e Coreia do Sul.

Especialistas apontaram que o site da Comissão Federal do Comércio dos EUA ficou offline por alguns momentos de
06/07/2009 e 07/07/2009, ainda sem razão identificada. Além disso, Departamento de Transporte também sofreu
instabilidades.

Ataques de negação de serviço atingiram ainda o Departmento de Tesouro dos EUA, e a equipe trabalha para
diminuir o impacto da invasão, informou uma porta-voz.

Outros alvos incluem sites de bancos na Coréia do Sul e nos EUA, o site da Casa Branca e dos departamentos de
Estado e Defesa, entre outros. No caso da Coréia do Sul, páginas da Assembléeia Nacional e do Ministro de Defesa
Nacional foram tirados do ar.

Os ataques, embora poderosos, não são sofisticados e não devem ameaçar a segurança dos sites e dos usuários. A
técnica de negação de serviço tenta sobrecarregar as páginas com solicitações inúteis e torná-las indisponíveis aos
internautas.

Mesmo assim, algumas coisas tornaram o incidente pouco comum. O código do botnet por trás do ataque não usa
técnicas tradicionais. No final de semana, o ataque consumia de 20 GB a 40 GB por segundo de tráfego, número dez
vezes maior que em um ataque comum de negação de serviço.
 Spoofing
O spoofing ocorre quando se altera ou oculta o endereço de origem de um
pacote IP, sendo que, para efeito de encaminhamento e roteamento dos pacotes
na rede, basta o endereço de destino. Assim um possível invasor pode enviar
pacotes destrutivos sem ser identificado, o que os caracteriza como uma primeira
etapa de um processo de ataque. Portanto, nesse caso, o spoofing pode ser
promovido tanto por usuários internos como por externos.
A atividade de spoofing não é, na verdade, um ataque, mas sinaliza que
pode ocorrer, por exemplo, um ataque de negação de serviço.
Para combater o spoofing, o firewall desativa o roteamento de origem,
assim são analisados os endereços de origem de cada pacote e, caso os
endereços não estejam presentes nas tabelas de roteamento, então o tráfego é
bloqueado.
Todo tráfego de spoofing é intencional, o que não significa que todo tráfego
seja malicioso, porém por causa desse último podem ocorrer erros de funções ou
falhas de sistemas que gerem o mesmo efeito de spoofing, bem como pode
haver a ocorrência de sistemas de redundância de rede que respondem
automaticamente por spoofing para servidores desligados
 SYN flood

O flooding corresponde à técnica utilizada pelos invasores para

encaminhar grande quantidade de pacotes para os atacados,
consumindo os recursos disponíveis dos atacados.
O Syn flood é uma forma de ataque baseada no modelo de
estabelecimento de uma conexão TCP/IP. O protocolo TCP utiliza o
processo conhecido como three-way handshake para estabelecer uma
conexão entre a origem e o destino.

Envia Syn

Retorna Syn / ACK

Retorna ACK

Origem Destino
 SYN flood (continuação)

Primeiramente, a origem envia um pacote TCP com número

seqüencial aleatório e com o bit que sinaliza o sincronismo (flag de Syn)
habilitado dentro do campo do cabeçalho. Ao receber o pacote, o
destinatário responde com o seu próprio número seqüencial e com os
bits dos flag de Syn e de ACK habilitados, indicando que o destino
reconheceu o pacote de origem.

Muitas implementações TCP/IP aguardam até 60 segundos por um

novo pacote TCP com o bit de flag ACK ativado para estabelecer a
conexão. É este período de tempo de espera que os invasores utilizam
para gerar um enorme volume de pacotes para estabelecer uma
conexão com o dispositivo de destino, sem, no entanto, enviar a
resposta de ACK. O firewall é capaz de identificar um ataque de Syn
Flood e de, imediatamente, bloquear o tráfego específico.
 Varredura de portas
A SCAN (varredura de portas) é um importante
mecanismo utilizado pelos invasores para identificar
endereços IP, nomes de dispositivos e portas da camada de
transporte.

A varredura de rede pode não ser propriamente um

ataque, mas corresponde à primeira fase para identificar
quais os serviços ativos e em quais equipamentos de rede
eles estão disponíveis.

O firewall pode identificar pacotes originados de uma

mesma fonte que estão varrendo diversas portas em
determinado período de tempo e aplicar políticas de
bloqueio de acesso para aquela fonte.
Administração da Segurança

Segurança Física

Segurança Lógica

Controle Administrativo

Patrimônio e
informações da empresa
 Administração da Segurança

• Controles administrativos incluem o desenvolvimento e divulgação de

políticas, normas, procedimentos e orientações, a seleção de pessoal,
realização de segurança, treinamento de conscientização e controle de
processos de execução mudança.

• Controles técnicos (controles / Segurança lógica) consistem na

implementação de mecanismos que mantêm o controle de acesso,
senha e de recursos gestão, métodos de identificação e autenticação,
dispositivos de segurança e configuração da infra-estrutura.

• Controles de acesso físico: controle individual de acesso em diferentes

departamentos; sistemas de bloqueio; remoção de dispositivos
desnecessários (CD-ROM/DVD); proteção de perímetro das instalações,
acompanhamento de intrusão e controles ambientais.
 Segurança Lógica

Para um usuário ser capaz de acessar um recurso, ele primeiro tem de

provar que ele é quem ele diz ser, possuir as credenciais necessárias, e
os direitos necessários ou privilégios para executar as ações que ele
solicita.
Identificação descreve um método de garantir que um usuário (sujeito,
programa ou processo) é a entidade que alega ser. A identificação pode
ser efetuada com a utilização de um nome ou número de conta, onde a
autenticação ocorre uma senha, senha, chave de identificação pessoal e
criptografia número (PIN), atributo anatômico, ou token.
 Segurança Lógica - Implementações

• Controles Biométricos
- Leitura de Retina
- Leitura de Íris
- Leitura de digitais
- Controle de voz
- Leitura Facial

• Gerenciamento de senhas
- Número de tentativas de erro
- Tamanho
- Histórico
- Complexidade

• Single Sign-On (Integração de ambientes)