Escolar Documentos
Profissional Documentos
Cultura Documentos
12.0 Introdução
Este capítulo analisa os tipos de ataques que ameaçam a segurança dos computadores e os dados
contidos neles. Um técnico é responsável pela segurança dos dados e do hardware de uma empresa.
Você vai aprender a trabalhar com os clientes para garantir que a melhor proteção possível seja
implantada.
Para proteger com sucesso os computadores e a rede, um técnico deve entender os dois tipos de
ameaças à segurança dos computadores:
Física - Eventos ou ataques que roubam, danificam, ou destroem equipamentos, como servidores,
switches e cabeamento
Dos dados - Eventos ou ataques que removem, corrompem, negam acesso a usuários
autorizados, permitem o acesso a usuários não autorizados ou roubam informações
12.1.1.1 Malwares
FIGURA
1
FIGURA
2
FIGURA
3
Spam, também conhecido como lixo eletrônico, é e-mail não solicitado, nem autorizado. Na maioria
dos casos, o spam é usado como um método de anúncio. Entretanto, o spam pode ser usado para enviar
links perigosos, malware ou conteúdo enganoso. O objetivo é obter informações confidenciais, como o
número na previdência social ou informações da conta no banco. A maioria dos spams é enviada por
vários computadores em redes que foram infectadas por um vírus ou por um worm. Esses computadores
infectados enviam o máximo de lixo eletrônico possível.
O spam não pode ser interrompido, mas seus efeitos podem ser reduzidos. Por exemplo, a maioria
dos ISPs filtram os spams, antes que eles atinjam a caixa de entrada do usuário. Muitos programas
antivírus e de e-mail executam automaticamente a filtragem de e-mail, como mostra a figura. Isso significa
que detectam e removem spam de uma caixa de entrada.
Mesmo com essas funcionalidades de segurança implementadas, alguns spams ainda podem
passar. Observe alguns dos indicadores mais comuns de Spam:
Um e-mail sem assunto.
Um e-mail solicitando uma atualização de uma conta.
Um e-mail cheio de palavras escritas incorretamente ou pontuação estranha.
Links no e-mail são longos e/ou incompreensíveis.
Um e-mail disfarçado como correspondência de uma empresa legítima.
Um e-mail que solicita que você abra um anexo.
As empresas também devem conscientizar os funcionários sobre os perigos de se abrir anexos de
e-mail que possam conter um vírus ou um worm. Não presuma que os anexos de e-mail são seguros,
mesmo quando são enviados de um contato confiável. O computador do remetente pode estar infectado
por um vírus que está tentando se espalhar. Sempre varra anexos de e-mail, antes de abri-los.
12.1.1.5 Ataques TCP/IP
FIGURA
1
FIGURA
2
FIGURA
3.1
FIGURA
3.2
FIGURA
3.3
FIGURA
3.4
FIGURA
3.5
FIGURA
4
FIGURA
5.1
FIGURA
5.2
FIGURA
5.3
FIGURA
5.4
Um ataque de dia zero, às vezes conhecido como uma ameaça de dia zero, é um ataque de
computador que tenta explorar as vulnerabilidades do software que são desconhecidas ou não divulgadas
pelo fornecedor do software. O termo hora zero descreve o momento em que a exploração é descoberta.
Durante o tempo que os fornecedores de software demoram para desenvolver e liberar um patch, a rede
está vulnerável a essas explorações, como mostrado na figura. A defesa contra esses ataques rápidos
requer que os profissionais de rede adotem uma visão mais sofisticada da arquitetura da rede. Não é mais
possível conter as intrusões em alguns pontos da rede.
A engenharia social ocorre quando um invasor tenta acessar o equipamento ou uma rede,
enganando as pessoas para que forneçam as informações necessárias para o acesso. Por exemplo, na
Figura 1, o engenheiro social ganha a confiança do funcionário e o convence a divulgar as informações de
nome de usuário e senha.
A tabela na Figura 2 descreve algumas técnicas de engenharia social usadas para obter
informações.
Aqui estão algumas precauções básicas para ajudar a proteger contra engenharia social:
Nunca forneça suas credenciais de login (por exemplo, nome de usuário, senha, PIN).
Nunca publique as informações de credenciais em sua área de trabalho.
Bloqueie o computador quando deixar sua mesa.
Para proteger um local físico, a empresa deve:
Implementar uma lista de controle de acesso ou de entrada contendo aqueles que tem a entrada
permitida.
Não deixe que ninguém o acompanhe por meio de uma porta que requer um cartão de acesso.
Sempre peça a identificação de pessoas desconhecidas.
Restrinja o acesso aos visitantes.
Acompanhe todos os visitantes.
FIGURA
1
FIGURA
2
FIGURA
1
FIGURA
2
FIGURA
3.1
FIGURA
3.2
FIGURA
3.3
FIGURA
3.4
FIGURA
3.5
FIGURA
3.6
Na maioria das redes que usam computadores Windows, o Active Directory é configurado com
domínios em um servidor Windows. Computadores Windows são membros de um domínio. O
administrador configura uma diretiva de segurança de domínio que se aplica a todos os computadores que
participam do domínio. As diretivas de contas são configuradas automaticamente, quando um usuário faz
login no Windows.
A diretiva de segurança local do Windows pode ser usada para computadores independentes que
não fazem parte de um domínio do Active Directory. Para acessar a Diretiva de Segurança Local no
Windows 7 e no Vista, use o seguinte caminho: Iniciar > Painel de Controle > Ferramentas
Administrativas > Diretiva de Segurança Local
No Windows 8 e 8.1, use o seguinte caminho: Pesquisar > secpol.msc e clique em secpol.
A ferramenta de diretiva de segurança local será aberta, como mostrado na figura.
Nota: em todas as versões do Windows, você pode usar o comando Executar secpol.msc para abrir a
ferramenta de diretiva de segurança local.
FIGURA
2
FIGURA
3
FIGURA
1
FIGURA
2
FIGURA
3
FIGURA
1
FIGURA
2
A maioria das configurações no ramo Diretivas Locais da Diretiva de Segurança Local está além
do escopo deste curso. Entretanto, você deve ativar a auditoria para cada Diretiva de Auditoria. Por
exemplo, na figura, a auditoria é ativada para todos os eventos de logon.
Algumas configurações em Atribuição de Direitos de Usuário e Opções de Segurança serão
alteradas no laboratório.
12.2.1.7 Exportando a Diretiva de Segurança Local
Há várias ferramentas web (por exemplo, ActiveX, Flash) que podem ser usadas por invasores
para instalar um programa em um computador.
Para evitar isso, os navegadores têm funcionalidades que podem ser usadas para aumentar a
segurança da web:
Filtragem ActiveX
Bloqueador de Pop-ups
Filtro SmartScreen
Navegação InPrivate
12.2.2.2 Filtragem ActiveX
Ao navegar na web, algumas páginas podem não funcionar corretamente, a menos que você
instale um controle ActiveX. Alguns controles ActiveX são escritos por terceiros e podem ser mal-
intencionados. A filtragem ActiveX permite a navegação na web sem execução de controles ActiveX.
Depois que um controle ActiveX tiver sido instalado para um site, o controle será executado em
outros sites também. Isso pode prejudicar o desempenho ou apresentar riscos à segurança. Quando a
filtragem ActiveX está ativada, você pode escolher os sites nos quais é permitida a execução de controles
ActiveX. Os sites que não forem aprovados não poderão executar esses controles e o navegador não
mostrará notificações para que você os instale ou os ative.
Para ativar a filtragem de ActiveX no Internet Explorer 11, use o seguinte caminho: Ferramentas >
Filtragem ActiveX
O exemplo na figura exibe que a filtragem ActiveX está ativada. Clicar em Filtragem ActiveX
novamente desativaria o ActiveX.
Para visualizar um site que contém o conteúdo ActiveX quando a filtragem ActiveX está ativada,
clique no ícone azul Filtragem ActiveX na barra de endereços e clique em Desativar a filtragem
ActiveX.
Depois de analisar o conteúdo, você pode ativar novamente a filtragem Active X seguindo as
mesmas etapas.
12.2.2.3 Bloqueador de Pop-ups
Um pop-up é uma janela do navegador web que é aberta sobre outra janela do navegador web.
Alguns pop-ups são iniciados durante a navegação, como um link em uma página que abre um pop-up
para fornecer informações adicionais ou um close de uma imagem. Outros pop-ups são iniciados por um
site ou por um anunciante e são, geralmente, indesejados ou irritantes, especialmente quando vários pop-
ups são abertos ao mesmo tempo em uma página web.
A maioria dos navegadores web oferece a capacidade de bloquear janelas pop-up. Isso permite
que um usuário limite ou bloqueie a maioria dos pop-ups que ocorrem durante a navegação na web.
Para ativar a funcionalidade Bloqueador de Pop-ups do Internet Explorer 11, use o seguinte
caminho, como mostrado na Figura 1: Ferramentas > Bloqueador de Pop-ups > Ativar bloqueador de
pop-ups
Quando o Bloqueador de Pop-ups está ativado, as configurações do Bloqueador de Pop-ups
podem ser personalizadas. Para alterar as configurações do Bloqueador de Pop-ups no Internet Explorer,
use o seguinte caminho, como mostrado na Figura 2: Ferramentas > Bloqueador de Pop-ups >
Configurações do Bloqueador de Pop-ups
As seguintes configurações do Bloqueador de Pop-ups podem ser configuradas, como mostrado na
Figura 3:
Adicionar um site para permitir pop-ups
Alterar notificações ao bloquear pop-ups
Alterar o nível de bloqueio. Alto bloqueia todos os pop-ups, Médio bloqueia a maioria dos pop-ups
automáticos e Baixo permite pop-ups de sites confiáveis.
FIGURA
1
FIGURA
2
FIGURA
3
Os navegadores web também podem oferecer funcionalidades adicionais de filtragem web. Por
exemplo, o Internet Explorer 11 fornece a funcionalidade de filtro SmartScreen. Essa funcionalidade
detecta sites de phishing, analisa sites em busca de itens suspeitos e verifica downloads em uma lista que
contém sites e arquivos conhecidos por serem mal-intencionados.
Para ativar a funcionalidade Filtro SmartScreen do Internet Explorer 11, use o seguinte caminho,
como mostrado na Figura 1: Ferramentas > Filtro SmartScreen > Ativar Filtro SmartScreen
Isso abrirá a janela Filtro SmartScreen da Microsoft, mostrada na Figura 2. Nessa janela, o usuário
pode ativar ou desativar a funcionalidade.
Para ativar a funcionalidade, clique em Ativar filtro SmartScreen (recomendado) e clique em OK.
O conteúdo de uma página web também pode ser verificado. Para analisar a página web atual, use
o seguinte caminho: Ferramentas > Filtro SmartScreen > Verificar o Site
Para relatar uma página web suspeita, use o seguinte caminho: Ferramentas > Filtro
SmartScreen > Relatar Site Não Seguro
FIGURA
1
FIGURA
2
FIGURA
1
FIGURA
2
FIGURA
3
FIGURA
4
FIGURA
1
FIGURA
2
FIGURA
2
FIGURA
3
Os dados podem ser perdidos ou danificados em condições como roubo, falha do equipamento, ou
um desastre. Por isso, é importante realizar, regularmente, um backup de dados.
O backup de dados armazena uma cópia das informações de um computador em uma mídia
removível de backup que pode ser guardada em um local seguro. Fazer backup de dados é uma das
formas mais eficazes de proteção contra perda de dados. Se o hardware do computador falhar, os dados
podem ser restaurados do backup para um hardware funcional.
Os backups de dados devem ser realizados regularmente e incluídos na política de segurança. Os
backups de dados são, normalmente, armazenados em outro local, para proteger a mídia de backup, se
algo acontecer com a instalação principal. A mídia de backup é reutilizada com frequência para
economizar custos de mídia. Siga sempre as diretrizes de rotação de mídia da organização.
Estas são algumas considerações para backup de dados:
Frequência - Os backups podem levar muito tempo. Às vezes é mais fácil fazer um backup
completo mensal ou semanal, e depois backups parciais frequentes de todos os dados que tiverem
mudado, desde o último backup completo. No entanto, ter muitos backups parciais aumenta o
tempo necessário para restaurar os dados.
Armazenamento - Para segurança adicional, os backups devem ser transportados para um local
de armazenamento externo aprovado em uma rotação diária, semanal ou mensal, dependendo das
necessidades da política de segurança.
Segurança - Backups podem ser protegidos com senhas. A senha é inserida, antes que os dados
nas mídias de backup possam ser restaurados.
Validação - Valide sempre os backups para garantir a integridade dos dados.
Para realizar um backup de dados no Windows 7 ou no Vista, use o seguinte caminho, como
mostrado na Figura 1: Painel de Controle > Backup e Restauração
Aí, você pode fazer backup de um disco rígido em um disco removível, criar uma imagem do
sistema, ou criar um disco de reparo do sistema.
No Windows 8.0 e 8.1, o item Backup e Restauração foi removido do Painel de Controle. Em vez
disso, use Histórico de Arquivos para fazer backup dos arquivos. O Histórico de Arquivos é encontrado
no Painel de Controle. Na Figura 2, nenhuma unidade que poderia ser usada foi encontrada para concluir
o backup. Primeiro, você precisará configurar uma unidade de Histórico de Arquivos e ativar o Histórico de
Arquivos. Você pode escolher uma unidade externa conectada ou uma unidade interna clicando em
Selecionar unidade no painel do lado esquerdo. Ou você pode selecionar um local de rede, como
mostrado na Figura 2.
FIGURA
1
FIGURA
2
A criptografia é, geralmente, usada para proteger os dados. Criptografia é onde os dados são
transformados usando um algoritmo complicado para torná-los ilegíveis. Uma chave especial deve ser
usada para transformar as informações ilegíveis, novamente em dados legíveis. Programas de software
são usados para criptografar arquivos, pastas e, até mesmo, unidades inteiras.
O EFS (Encrypting File System, Sistema de Criptografia de Arquivos) é uma característica do
Windows que pode criptografar dados. O EFS está vinculado diretamente a uma conta de usuário
específica. Apenas o usuário que criptografou os dados poderá acessá-los depois de eles terem sido
criptografados usando EFS. Para criptografar os dados usando EFS em todas as versões do Windows,
siga estes passos:
Passo 1. Selecione um ou mais arquivos ou pastas.
Passo 2. Clique com o botão direito nos dados selecionados >Propriedades.
Passo 3. Clique em Avançado...
Passo 4. Marque a caixa de seleção Criptografar conteúdo para proteger os dados.
Passo 5. Os arquivos e as pastas que foram criptografados com EFS são exibidos em verde, como
mostrado na figura.
12.2.3.6 BitLocker do Windows
Você também pode escolher criptografar um disco rígido inteiro, usando um recurso chamado
BitLocker. Para usar BitLocker, pelo menos dois volumes devem estar presentes em um disco rígido. Um
volume do sistema é deixado não criptografado e deve ser de pelo menos 100 MB. Esse volume mantém
os arquivos necessários para o Windows inicializar.
Antes de usar o BitLocker, o TPM (Trusted Platform Module, Módulo de Plataforma Confiável) deve
ser ativado na BIOS. O TPM é um chip especializado instalado na placa-mãe. O TPM armazena
informações específicas do sistema host, como chaves de criptografia, certificados digitais e senhas. Os
aplicativos, como o BitLocker, que usam criptografia, podem usar o chip de TPM. Para ativar o TPM, siga
estes passos:
Passo 1. Ligue o computador e entre na configuração da BIOS.
Passo 2. Procure a opção TPM nas telas de configuração da BIOS. Consulte o manual da sua
placa-mãe para localizar a tela correta. O utilitário de configuração do ThinkPad da Lenovo é mostrado na
Figura 1.
Passo 3. Escolha Habilitar ou Ativar o chip de segurança.
Passo 4. Salve as alterações na configuração da BIOS
Passo 5. Reinicialize o computador.
Para ativar o BitLocker em todas as versões do Windows, siga estes passos:
Passo 1. Clique em Painel de Controle > Criptografia de Unidade BitLocker.
Passo 2. Na página Criptografia de Unidade BitLocker, clique em Ativar BitLocker no volume
do sistema operacional.
Passo 3. Se o TPM não estiver inicializado, o assistente Inicialização do Hardware de
Segurança do TPM será exibido. Siga as instruções fornecidas pelo assistente para inicializar o TPM.
Reinicie o computador.
Passo 4. A página Salvar a senha de recuperação tem as seguintes opções:
Salvar a senha em uma unidade USB - Esta opção salva a senha em uma unidade USB.
Salvar a senha em uma pasta - Esta opção salva a senha em uma unidade de rede ou em outro
local.
Imprimir a senha - Esta opção imprimirá a senha.
Passo 5. Depois de salvar a senha de recuperação, clique em Avançar.
Passo 6. Na página Criptografar o volume de disco selecionado, marque a caixa de seleção
Executar Verificação de Sistema BitLocker.
Passo 7. Clique em Continuar.
Passo 8. Clique em Reiniciar agora.
Passo 9. A barra de estado Criptografia em Andamento é exibida. Depois de o computador ter
sido reiniciado, você pode verificar se o BitLocker está ativo, como mostrado na Figura 2. Você pode clicar
em Administração do TPM para exibir os detalhes do TPM, como mostrado na Figura 3.
Nota: a criptografia BitLocker também pode ser usada em unidades removíveis usando o BitLocker To Go.
O BitLocker To Go não usa um chip de TPM, mas ainda fornece criptografia dos dados e exige uma
senha.
FIGURA
1
FIGURA
2
FIGURA
3
Nota: é importante lembrar que as técnicas de apagamento e desmagnetização de dados são irreversíveis
e os dados nunca podem ser recuperados.
Os SSDs são compostos de memória flash, em vez de pratos magnéticos. As técnicas comuns
usadas para apagar dados, como a desmagnetização, não são eficazes. Para garantir completamente que
os dados não possam ser recuperados de um SSD, execute um apagamento seguro. Isso também se
aplica ao SSD híbrido
Outras mídias e documentos de armazenamento (por exemplo, discos óticos, eMMC, pen drives)
também devem ser destruídos. Use um triturador ou um incinerador que sejam projetados para destruir
documentos e todo tipo de mídia. Para os documentos confidenciais que devem ser guardados, como
aqueles com informações secretas ou senhas, guarde-os sempre trancados em um local seguro.
Ao pensar que dispositivos devem ser apagados ou destruídos, lembre-se de que dispositivos além
dos computadores e dos dispositivos móveis armazenam dados. As impressoras e dispositivos
multifuncionais podem também conter um disco rígido que armazena em cache documentos impressos ou
digitalizados. Essa funcionalidade de armazenamento em cache pode ser desativada em alguns casos, ou
o dispositivo precisa ser apagado regularmente para garantir a privacidade dos dados. É uma boa prática
de segurança configurar autenticação de usuário no dispositivo, se possível, para impedir que uma pessoa
não autorizada altere as configurações que se referirem à privacidade.
FIGURA
1
FIGURA
2
12.2.3.8 Reciclagem e Destruição do Disco Rígido
Empresas com dados confidenciais devem sempre criar políticas claras para descarte de mídia de
armazenamento. Há duas opções disponíveis, quando uma mídia de armazenamento não é mais
necessária.
As mídias podem ser:
Recicladas - Discos rígidos que foram apagados podem ser reutilizados em outros computadores.
A unidade pode ser reformatada e um novo sistema operacional instalado. Dois tipos de
formatação podem ser realizados, como mostra a Figura 1.
Destruídas - A destruição completa do disco rígido garante, completamente, que os dados não
sejam recuperados de um disco rígido. Os dispositivos especificamente projetados como
esmagadores de disco rígido, trituradores de disco rígido, incineradores, etc, podem ser usados
para grandes volumes de unidades. Danificar a unidade fisicamente, com martelo, como mostra a
Figura 2, também é eficaz.
Uma empresa pode escolher um fornecedor externo para destruir suas mídias de armazenamento.
Esses fornecedores geralmente têm algum vínculo e seguem regulamentações governamentais rígidas.
Eles também podem oferecer um certificado de destruição. Esse certificado fornece evidências de que a
mídia foi completamente destruída.
FIGURA
1
FIGURA
2
Malware inclui vírus, worms, cavalos de Troia, keyloggers, spyware e adware. Eles foram criados
para invadir a privacidade, roubar informações, danificar o sistema ou excluir dados corrompidos.
É importante que você proteja os computadores e dispositivos móveis com software antimalware de
qualidade. Os seguintes tipos de programas antimalware estão disponíveis:
Proteção antivírus - Programa que monitora, continuamente, por vírus. Quando um vírus é
detectado, o usuário é avisado e o programa tenta colocar o vírus em quarentena ou excluí-lo,
como mostra a Figura 1.
Proteção contra adware – o programa procura continuamente por programas que indicam
publicidade em seu computador.
Proteção contra phishing – O programa bloqueia endereços IP de sites de phishing conhecidos
na web e avisa o usuário sobre sites suspeitos.
Proteção contra spyware – Programa que varre o computador em busca de keyloggers e ouros
tipos de spyware.
Fontes confiáveis/não confiáveis – Programa que avisa sobre programas não seguros prestes a
serem instalados ou sobre sites não seguros na web, antes de serem visitados.
Pode ser necessário usar vários programas diferentes e fazer várias varreduras para remover
completamente todos os softwares mal-intencionados. Execute apenas um programa de proteção contra
malware por vez.
Várias empresas de segurança confiáveis, como McAfee, Symantec e Kaspersky, oferecem a
proteção contra malware completa para computadores e dispositivos móveis.
Desconfie de produtos antivírus falsos mal-intencionados que podem aparecer durante a
navegação na Internet. A maioria desses produtos antivírus falso exibe um anúncio ou um pop-up que
parece como uma janela de aviso real do Windows, como mostra a Figura 2. Eles geralmente afirmam que
o computador está infectado e deve ser limpo. Clicar em qualquer lugar na janela pode iniciar o download
e a instalação do malware.
Quando se deparar com uma janela de aviso suspeita, nunca clique na janela de aviso. Feche a
guia ou o navegador para ver se a janela de aviso some. Se a guia ou o navegador não fechar, pressione
ALT+F4 para fechar a janela ou use o Gerenciador de Tarefas para encerrar o programa. Se a janela de
aviso não sumir, varra o computador usando um bom programa antivírus ou de proteção contra adware
conhecido, para garantir que o computador não esteja infectado.
Clique aqui (https://zvelo.com/introduction-to-rogue-antivirus/) para ler um blog sobre malware
antivírus falso.
Software não aprovado ou não compatível não é apenas um software que é instalado de forma não
intencional em um computador. Também pode vir de usuários que queriam instalá-lo. Pode não ser mal-
intencionado, mas ainda pode violar a política de segurança. Esse tipo de sistema não compatível pode
interferir no software da empresa ou nos serviços de rede. O software não aprovado precisa ser removido
imediatamente.
FIGURA
1
FIGURA
2
Os fabricantes de software devem criar e distribuir, regularmente, novos patches para corrigir falhas
e vulnerabilidades nos produtos. Como novos vírus estão sempre sendo desenvolvidos, o software de
segurança deve ser continuamente atualizado. Esse processo pode ser realizado automaticamente, mas
um técnico deve saber atualizar manualmente qualquer tipo de software de proteção e todos os programas
de aplicativos do cliente.
Os programas de detecção de malware procuram padrões no código de programação do software
em um computador. Esses padrões são determinados analisando vírus que são interceptados na Internet
e em redes locais. Esses padrões de código são chamados assinaturas. Os produtores de software de
proteção compilam as assinaturas em tabelas de definição de vírus. Para atualizar arquivos de assinatura
do software antivírus, primeiro verifique se os arquivos de assinatura são os arquivos mais recentes. Você
pode verificar o status do arquivo, navegando para a opção Sobre do software de proteção ou iniciando a
ferramenta de atualização do software de proteção.
Para atualizar o arquivo de assinatura, siga estes passos:
Passo 1. Crie um ponto de restauração no Windows. Se o arquivo carregado estiver corrompido,
definir um ponto de restauração permite que você volte para a forma como as coisas estavam.
Passo 2. Abra o programa antivírus. Se o programa estiver configurado para executar ou obter
atualizações automaticamente, pode ser necessário desativar a funcionalidade de automatização, para
realizar essas etapas manualmente.
Passo 3. Clique no botão Atualizar.
Passo 4. Depois que o programa estiver atualizado, use-o para varrer o computador.
Passo 5. Quando a varredura tiver sido concluída, verifique o relatório para ver se há vírus ou
outros problemas que não puderam ser tratados e os exclua você mesmo.
Passo 6. Configure o programa antivírus para se atualizar e ser executado automaticamente, de
acordo com um cronograma.
Sempre recupere os arquivos de assinatura do site do fabricante, para garantir que a atualização
seja autêntica e não esteja corrompida por vírus. Isso pode colocar grande demanda no site do fabricante,
especialmente quando vírus novos são lançados. Para evitar criar muito tráfego em um único site, alguns
fabricantes distribuem seus arquivos de assinatura para download em vários sites de download. Esses
sites de download são chamadas espelhos.
CUIDADO: ao baixar arquivos de assinatura de um espelho, certifique-se de que o site espelho seja um
site legítimo. Sempre siga um link para o site espelho vindo do site do fabricante.
12.2.5 Técnicas de Segurança
A comunicação entre dois computadores pode exigir uma comunicação segura. Para isso, os
seguintes protocolos são necessários:
Codificação hash
Criptografia simétrica
Criptografia assimétrica
A codificação hash, ou hashing, garante a integridade da mensagem. Isso significa que garante que
a mensagem não seja corrompida ou modificada durante a transmissão. Hashing usa uma função
matemática para criar um valor numérico, chamado resumo da mensagem que é exclusivo para os dados.
Se mesmo um único caractere for alterado, a saída da função não será a mesma. A função pode ser
usada apenas em um sentido. Portanto, saber o resumo da mensagem não permite a um invasor recriar a
mensagem, tornando difícil que alguém intercepte e altere as mensagens. A codificação hash está
ilustrada na Figura 1. O algoritmo de hash mais popular agora é o SHA (Secure Hash Algorithm, Algoritmo
de Hash Seguro) que está substituindo o algoritmo MD5 (Message Digest 5, Resumo de Mensagem 5).
A criptografia simétrica garante a confidencialidade da mensagem. Se uma mensagem
criptografada for interceptada, ela não poderá ser entendida. Ela só poderá ser descriptografada (ou seja,
lida), usando a senha (ou seja, chave) com a qual foi criptografada. A criptografia simétrica requer que os
dois lados de uma conversa criptografada use uma chave de criptografia para codificar e decodificar os
dados. O remetente e o receptor devem usar chaves idênticas. A criptografia simétrica é mostrada na
Figura 2. A criptografia AES (Advanced Encryption Standard, Padrão de Criptografia Avançada) e o
algoritmo de criptografia de dados triplo mais antigo (3DES) são exemplos de criptografia simétrica.
A criptografia assimétrica também garante a confidencialidade da mensagem. Requer duas chaves,
uma chave privada e uma chave pública. A chave pública pode ser amplamente distribuída, incluindo ser
enviada por e-mails em texto simples ou publicada na web. A chave privada é mantida por uma pessoa e
não deve ser divulgada a nenhuma outra pessoa. Essas chaves podem ser usadas de duas maneiras:
A criptografia de chave pública é usada quando uma única organização precisa receber o texto
criptografado de várias fontes. A chave pública pode ser amplamente distribuída e usada para
criptografar as mensagens. O destinatário é o único participante que tem a chave privada, usada
para descriptografar as mensagens. A criptografia assimétrica que usa uma chave pública é
mostrada na Figura 3.
No caso das assinaturas digitais, uma chave privada é necessária para criptografar uma
mensagem e uma chave pública é necessária para decodificar a mensagem. Essa abordagem
permite que o destinatário tenha confiança sobre a origem da mensagem, pois somente uma
mensagem criptografada usando a chave privada do autor pode ser descriptografada pela chave
pública. RSA é o exemplo mais popular de criptografia assimétrica.
Nota: a criptografia simétrica requer que os dois sistemas sejam pré-configurados com uma chave secreta.
A criptografia assimétrica exige que apenas um sistema tenha a chave privada.
FIGURA
1
FIGURA
2
FIGURA
3
Use um sistema de criptografia sem fio para codificar a informação que está sendo enviada para
evitar captura e uso indesejados de dados. A maioria dos access points sem fio é compatível com vários
modos diferentes de segurança, como mostra a figura. Como discutido em um capítulo anterior, sempre
implemente o modo de segurança mais forte (WPA2) possível.
Muitos roteadores oferecem WPS (Wi-Fi Protected Setup, Configuração Protegida de Wi-Fi). O
WPS permite a configuração muito fácil de segurança Wi-Fi. Com o WPS, o roteador e o dispositivo sem
fio terão um botão que, quando os dois forem pressionados, a segurança Wi-Fi entre os dispositivos será
automaticamente configurada. Uma solução de software que usa um PIN também é comum. É importante
saber que o WPS não é seguro. É vulnerável a ataques de força bruta. O WPS deve ser desligado como
uma prática recomendada de segurança.
UPnP (Universal Plug and Play, Plug and Play Universal) é um protocolo que permite que
dispositivos se adicionem dinamicamente a uma rede, sem a necessidade de intervenção ou configuração
do usuário. Embora conveniente, o UPnP não é seguro. O protocolo UPnP não tem nenhum método para
autenticar dispositivos. Portanto, ele considera cada dispositivo como confiável. Além disso, o protocolo
UPnP tem várias vulnerabilidades de segurança. Por exemplo, um malware pode usar o protocolo UPnP
para redirecionar o tráfego para endereços IP diferentes fora da rede, enviando potencialmente,
informações confidenciais para um hacker.
Muitos roteadores sem fio domésticos e de pequenos escritórios têm o UPnP ativado por padrão.
Verifique, portanto essa configuração e desative-a, como mostra a figura.
A GRC (Gibson Research Corporation) oferece uma variedade de ferramentas de criação de perfil
de vulnerabilidades gratuitas e baseadas em navegador. Clique aqui (https://www.grc.com/su/UPnP-
Rejected.htm) para usar a ferramenta de teste da GRC para determinar se seu roteador sem fio está
exposto a vulnerabilidades de UPnP.
12.2.5.5 Atualizações de Firmware
A maioria dos roteadores sem fio oferece firmware que pode ser atualizado. As versões de
firmware podem conter correções para problemas comuns apresentados por clientes, além de
vulnerabilidades de segurança. Você deve verificar periodicamente o site do fabricante do firmware, para
ver se há atualizações. Depois que for baixada, você pode usar o GUI para carregar o firmware no
roteador sem fio, como mostra a figura. Os usuários devem ficar desconectados da WLAN e da Internet,
até que a atualização seja concluída. O roteador sem fio pode precisar ser reinicializado várias vezes
antes, que as operações normais de rede sejam restauradas.
12.2.5.6 Firewalls
Um firewall por hardware é um componente de filtragem físico que inspeciona os pacotes de dados
da rede, antes que atinjam os computadores e outros dispositivos de uma rede. Um firewall por hardware é
uma unidade autônoma que não usa os recursos dos computadores que está protegendo, portanto, não há
nenhum impacto no desempenho do processamento. O firewall pode ser configurado para bloquear várias
portas individuais, um intervalo de portas ou, até mesmo, o tráfego específico de um aplicativo. A maioria
dos roteadores sem fio também incluem um firewall por hardware integrado.
Um firewall por hardware passa dois tipos diferentes de tráfego para a rede:
Respostas a tráfego que se origina de dentro da rede
Tráfego destinado a uma porta que você deixou intencionalmente aberta
Existem vários tipos de configurações de firewall por hardware:
Filtro de pacotes - Os pacotes não podem passar pelo firewall, a menos que correspondam ao
conjunto de regras estabelecido configurado no firewall. O tráfego pode ser filtrado, com base em
atributos diferentes, como o endereço IP origem, a porta origem ou o endereço IP ou a porta
destino. O tráfego pode também ser filtrado, com base em serviços ou protocolos de destino, como
WWW ou FTP.
SPI (Stateful packet inspection, Inspeção de Pacotes Stateful) - Este é um firewall que controla
o estado das conexões de rede que passam pelo firewall. Os pacotes que não fazem parte de uma
conexão conhecida são descartados. O firewall SPI está ativado na Figura 1.
Camada de aplicação - Todos os pacotes que vão para uma aplicação ou que saem de uma
aplicação são interceptados. Evita-se que todo o tráfego externo indesejado chegue aos
dispositivos protegidos.
Proxy - este é um firewall instalado em um servidor proxy que inspeciona todo o tráfego e permite
ou nega pacotes, com base em regras configuradas. Um servidor proxy é um servidor que é uma
retransmissão entre um cliente e um servidor de destino na Internet.
Firewalls por hardware e por software protegem dados e equipamentos de uma rede contra acesso
não autorizado. Um firewall deve ser usado em conjunto com software de segurança. A Figura 2 compara
firewalls por hardware e por software.
Zona Desmilitarizada
Uma DMZ (Demilitarized Zone, Zona Desmilitarizada) é uma sub-rede que fornece serviços a uma
rede não confiável. Um servidor de e-mail, web, ou um servidor FTP são colocados geralmente na DMZ,
para que o tráfego que usa o servidor não venha para dentro da rede local. Isso protege a rede interna
contra ataques desse tráfego, mas não protege os servidores na DMZ, de qualquer maneira. É comum
para um firewall ou um proxy gerenciar o tráfego de e para a DMZ.
Em um roteador sem fio, você pode criar uma DMZ para um dispositivo, encaminhando todas as
portas de tráfego da Internet para um endereço IP ou um endereço MAC específico. Um servidor, uma
máquina de jogo, ou uma câmera web podem estar na DMZ, para que o dispositivo possa ser acessado
por qualquer pessoa. O dispositivo na DMZ, no entanto, está exposto a ataques de hackers na Internet.
FIGURA
1
FIGURA
2
Firewalls por hardware podem ser usados para bloquear portas para impedir o acesso não
autorizado dentro e fora da LAN. No entanto, há situações em que portas específicas precisam ser
abertas, para que determinados programas e aplicativos possam se comunicar com dispositivos em redes
diferentes. Port forwarding (encaminhamento de portas) é um método baseado em regras de
direcionamento de tráfego entre dispositivos em redes separadas.
Quando o tráfego chega no roteador, o roteador determina se o tráfego deverá ser encaminhado
para um determinado dispositivo, com base no número da porta encontrado com o tráfego. Os números de
porta são associados aos serviços específicos, como FTP, HTTP, HTTPS e POP3. As regras determinam
que tráfego é enviado para a LAN. Por exemplo, um roteador pode ser configurado para encaminhar a
porta 80, que é associada ao HTTP. Quando o roteador recebe um pacote com a porta destino 80, o
roteador encaminha o tráfego para o servidor na rede que serve páginas web. Na figura, o port forwarding
está ativado para a porta 80 e associado ao servidor web no endereço IP 192.168.1.254.
O port triggering permite que o roteador encaminhe, temporariamente, os dados, pelas portas de
entrada, para um dispositivo específico. Você pode usar o port triggering para encaminhar dados a um
computador, apenas quando um intervalo designado de portas é usado para fazer uma requisição de
saída. Por exemplo, um videogame pode usar as portas 27000 a 27100 para se conectar com outros
participantes. Essas são as portas para o port triggering. Um cliente de bate-papo pode usar a porta 56
para conectar os mesmos jogadores para que possam interagir uns com os outros. Nesse caso, se houver
tráfego de jogos em uma porta de saída no intervalo de porta configurado do port triggering, o tráfego de
bate-papo de entrada na porta 56 é encaminhado para o computador que está sendo usado para executar
o videogame e o bate-papo com amigos. Quando o jogo acaba e as portas não estão mais sendo usadas,
a porta 56 não tem mais permissão para enviar tráfego de nenhum tipo a esse computador.
A segurança física é tão importante quanto a segurança dos dados. Quando um computador é
levado, os dados são roubados também. É importante restringir o acesso às instalações usando cercas,
travas de porta, e portões. Por exemplo, uma armadilha é frequentemente usada para evitar tailgating
(utilização não autorizada). É uma pequena sala, com duas portas, sendo que uma deve ser fechada,
antes que a outra possa ser aberta. Proteja a infraestrutura de rede, como o cabeamento, equipamentos
de telecomunicações e os dispositivos de rede, com o seguinte:
Salas de telecomunicações, gabinetes de equipamentos e racks protegidos
Cadeados e parafusos de segurança para dispositivos de hardware
Detecção sem fio de access points não autorizados
Firewalls por hardware
Sistema de gerenciamento de rede que detecta mudanças no cabeamento e nos patch panels
Dispositivos sem fio prevenidos contra reinicializações físicas
Senhas da BIOS/UEFI
A senha de usuário do Windows, do Linux ou do Mac para fazer login em seu computador não
impede que alguém inicialize o computador com um CD ou um pen drive com um sistema operacional
diferente. Depois de ser inicializado, o usuário mal-intencionado poderia acessar ou apagar seus arquivos.
Você pode impedir que alguém inicialize seu PC ou notebook introduzindo a senha da BIOS ou da UEFI.
Embora a criptografia de seu disco rígido seja uma solução melhor, há situações em que você pode
considerar a configuração de uma senha da BIOS ou da UEFI. Por exemplo, os computadores usados
regularmente pelo público ou em um lugar de trabalho público seriam candidatos para uma senha da BIOS
ou da UEFI. Depois de configurada, a senha da BIOS ou da UEFI é relativamente difícil de ser apagada.
Portanto, certifique-se de embra-la.
AutoRun e Reprodução Automática
AutoRun é uma funcionalidade do Windows que segue, automaticamente, as instruções em um
arquivo especial chamado autorun.inf quando novas mídias, como um CD, um DVD ou um pen drive, são
inseridos no computador. Reprodução Automática é diferente de AutoRun. A funcionalidade Reprodução
Automática é uma forma conveniente de identificar, automaticamente, quando novas mídias, como discos
óticos, discos rígidos externos, ou pen drives, são inseridas ou conectadas no computador. A Reprodução
Automática solicita que o usuário escolha uma ação, com base no conteúdo da nova mídia, como executar
um programa, tocar música ou explorar a mídia.
No Windows, o AutoRun é executado primeiro, a menos que seja desativado. Se o AutoRun não
estiver desativado, ele segue as instruções no arquivo autorun.inf. Começando com Windows Vista, o
AutoRun não tem permissão para ignorar a Reprodução Automática. No entanto, você está, ainda, a
apenas um clique de executar, sem saber, um malware na caixa de diálogo da Reprodução Automática.
Portanto, é uma boa prática de segurança determinar quais programas usarão a Reprodução Automática.
A solução mais segura é desativar a Reprodução Automática, como mostra a Figura 1. A Reprodução
Automática é encontrada em Painel de Controle > Reprodução Automática em todas as versões do
Windows, a partir do Vista.
FIGURA
2
Você pode fazer um backup do Windows manualmente ou agendar a frequência com que o backup
deve ocorrer automaticamente. Para fazer backup e restaurar dados com sucesso no Windows, os direitos
e permissões de usuário apropriados são necessários.
Todos os usuários podem fazer backup de seus arquivos e pastas. Podem também fazer backup
de arquivos para os quais têm permissão de leitura.
Todos os usuários podem restaurar arquivos e pastas para os quais têm permissão de gravação.
Os membros dos grupos administradores, operadores de backup e operadores de servidores (se
estiverem em um domínio) podem fazer backup e restaurar todos os arquivos, independentemente
das permissões atribuídas. Por padrão, os membros desses grupos têm os direitos de usuário dos
arquivos e diretórios de backup e dos arquivos e diretórios de restauração.
Para iniciar o Assistente de Backup de Arquivos do Windows 7 pela primeira vez, use o seguinte
caminho: Painel de Controle > Backup e Restauração > Configurar backup
Para iniciar o Assistente de Backup de Arquivos do Windows Vista, use o seguinte caminho: Painel
de Controle > Central de Backup e Restauração > Arquivos de backup
Começando com o Windows 8, backup e restauração tornaram-se parte do utilitário Histórico de
Arquivos, mostrado na Figura 1. No Windows 8.1 e 8.0, use o seguinte caminho: Painel de Controle >
Histórico de Arquivos > Ativar
Você precisa designar um local de backup para o Histórico de Arquivos. Um local da rede ou outra
unidade física interna ou externa pode ser usado. Fazer backup de dados pode levar um tempo, portanto,
é preferível fazer backup quando as necessidades de utilização do computador e da rede são baixos.
Clique nas configurações avançadas para alterar os parâmetros de backup, como mostra a Figura
2.
FIGURA
1
FIGURA
2
Os funcionários de uma empresa, geralmente, precisam de diferentes níveis de acesso aos dados.
Por exemplo, um gerente e um contador podem ser os únicos funcionários em uma empresa com acesso
a arquivos de folha de pagamento.
Os funcionários podem ser agrupados por requisitos de trabalho e o acesso fornecido aos arquivos,
de acordo com permissões de grupo. Esse processo ajuda a gerenciar o acesso dos funcionários à rede.
Contas temporárias podem ser configuradas para funcionários que precisam de acesso de curto prazo. O
controle rígido do acesso à rede pode ajudar a limitar as áreas de vulnerabilidades que podem permitir que
um vírus ou software mal-intencionado entre na rede.
Contas de Convidado
Os funcionários temporários e convidados podem precisar de acesso à rede. Por exemplo, os
visitantes podem precisar de acesso a e-mails, à Internet, e a uma impressora na rede. Esses recursos
podem ser disponibilizados para uma conta especial chamada Convidado. Quando convidados estão
presentes, pode-se atribuir a eles uma conta de convidado. Quando nenhum convidado estiver presente, a
conta pode ser desativada, até que o próximo convidado chegue.
Algumas contas de convidado exigem acesso amplo a recursos, como no caso de um consultor ou
um auditor financeiro. Esse tipo de acesso deve ser concedido somente pelo período necessário para
concluir o trabalho.
Para configurar todos os usuários e grupos em um computador, abra o Gerenciador de Usuários
e Grupos Locais, como mostrado para o Windows 8.1 na Figura. Em todas as versões do Windows, digite
lusrmgr.msc na caixa Pesquisar, ou no utilitário de linha de comando.
Horário de Login
Em algumas situações, convém que os funcionários tenham permissão para fazer login apenas
durante horas específicas, como de 7:00 às 18:00. Logins seriam bloqueados durante outras horas do dia.
FIGURA
1
FIGURA
2
FIGURA
3
FIGURA
1
FIGURA
2
12.4 Processo Básico de Solução de Problemas de Segurança
Depois de falar com o cliente, você pode começar a criar uma teoria de causas prováveis. Você
pode precisar realizar pesquisa interna ou externa adicional, com base na descrição dos sintomas do
cliente. A figura mostra uma lista de algumas causas prováveis comuns dos problemas de segurança.
Depois de determinar a causa exata do problema, estabeleça um plano de ação para resolvê-lo e
implementar a solução. A figura mostra algumas fontes que você pode usar para reunir informações
adicionais para resolver um problema.
Depois que você tiver corrigido o problema, verifique a funcionalidade completa e, se aplicável,
implemente medidas preventivas. A figura mostra uma lista das etapas para verificar a solução.
12.4.1.6 Documentar Descobertas, Ações e Resultados
Na última etapa do processo de solução de problemas, você deve documentar suas descobertas,
ações e resultados. A figura mostra uma lista das tarefas necessárias para documentar o problema e a
solução.
12.5.1 Conclusão
Este capítulo discutiu segurança de computadores e o motivo pelo qual é importante proteger o
hardware, as redes e os dados. As ameaças, os procedimentos e a manutenção preventiva relacionados
aos dados e à segurança física foram descritos para ajudá-lo a manter o hardware e os dados seguros.
Alguns conceitos importantes para se lembrar deste capítulo são:
As ameaças de segurança podem vir de dentro ou de fora da empresa.
Os vírus e worms são as ameaças comuns que atacam dados.
Desenvolva e mantenha um plano de segurança para proteger dados e equipamento físico contra
perdas.
Mantenha sistemas operacionais e aplicações atualizados e seguros com patches e service packs.