RESUMÃO SEGURANÇA DE REDE DE COMPUTADORES

✓ Segurança lógica: suporte ferramental automatizado para proteção de arquivos e impedir o ataque
de hackers, políticas de segurança.

O crescimento do uso de sistemas computacionais trouxe um elevado número de incidentes.

o Aumento da conectividade gera mais formas de ataque
o Hoje, ataques na Internet se tornaram mais sofisticados e mais automatizados;
o Habilidade e conhecimento exigidos para montar um ataque diminuíram.

✓ Segurança da Informação lida com proteção da informação e dos sistemas contra acessos não
autorizados, uso, divulgação, interrupção, modificação ou destruição

✓ Como proteger todas as redes cooperativas e fornecer visões diferenciadas para cada tipo de
conexão?
o Em nível básico, criptografia e autenticação assumem um importante papel para mitigar essas
ameaças crescentes.

Segurança x Ataques se assemelha a relação antibiótico x bactéria

◦ Precisa-se de atualização sobre os novos mecanismos de segurança e sobre o movimento dos
criminosos virtuais.

Categorias dos Serviços de Segurança:

1.Autenticação
2.Confidencialidade
3.Controle de acesso
4.Disponibilidade
5.Integridade
6.Irretratabilidade/Não repúdio

Autenticação - Garantir que cada entidade é quem afirma ser; garantir ao destinatário que a
mensagem é proveniente de onde ela afirma ter vindo;

Confidencialidade - Garantia de que apenas pessoas autorizadas tenham acesso à informação;

Controle de acesso - Uma vez autenticado, desejamos limitar e controlar o acesso aos sistemas e
aplicações;

Disponibilidade - Propriedade de um sistema ou de um recurso do sistema ser acessível e utilizável

sob demanda;
Integridade: Mensagens são recebidas da mesma forma que foram enviadas (manutenção do estado
da informação). Sem duplicações, inserções, modificações. Serviços com e sem recuperação;
Irretratabilidade/Não repúdio: Receptor pode provar que o emissor alegado enviou a mensagem.
Emissor pode provar que o receptor alegado de fato recebeu a mensagem.

A tríade CIA consiste em:

Confidencialidade
Integridade
Disponibilidade/ Availability
Personally identifiable information (PII) - é qualquer informação que pode ser usada para
identificar um indivíduo. Exemplos: nome, número de seguro, data de aniversário, número de cartões
de crédito, número de contas de bancos, ID de governos, endereços.

Protected Health Information (PHI) – Subconjunto de PII:

Cria e mantém registros eletrônicos médicos (EMRs). É regulado por Health Insurance Portability and
Accountability Act (HIPAA)

Vulnerabilidade
É uma falha/fraqueza que pode permitir a condução de um ataque.

Ataque
Tentativa, bem ou mal sucedida, de acessar ou usar de forma não autorizada um serviço, computador
ou rede. Ex. Acesso a dados ou uso de recursos sem autorização; Condução de negação de serviços
(Denial of Service); Violação de uma política de segurança.

Ameaça
A possibilidade de um evento que pode causar dano a um sistema ou rede. Por definição, a existência
de uma vulnerabilidade implica em uma ameaça.

Incidente
A ocorrência de um ataque; exploração de vulnerabilidades.

Risco (Risk)
Expectativa de perda = probabilidade de uma ameaça se concretizar * consequências danosas.
Risco = Probabilidade * Prejuízo

Malware: Malicious software

“Software não desejado e código executável que é utilizado para realizar uma ação não-autorizada,
geralmente danosa, em um dispositivo de computação. Inclui vírus, vermes, trojans, botnets, rootkits”.

Exploit code: Um código preparado para explorar uma vulnerabilidade conhecida, não precisando
fazer algo do mal, pode apenas mostrar que a vulnerabilidade existe. Normalmente é um pedaço de
um malware.

Vírus
Programas (ou fragmentos de código) que infectam outros programas e depende de sua execução.
Propagado por USB, CDs, DVDs, compartilhamentos em redes e email. Pode ficar adormecido até
uma data/tempo!

Um conceito comumente visto é o vírus de macro:

Uma macro é um conjunto de comandos armazenados em alguns aplicativos e utilizados para

automatizar tarefas repetitivas (imprimir um documento em modo retrato em um editor de texto). O
arquivo com o vírus precisa ser aberto e, a partir daí, o vírus pode executar uma série de ações.

Vermes (Worms)
Um programa “completo”. Não infecta outros programas. Possui inteligência para auto-replicação
(rede local, emails). Anexos de emails, arquivo executável, cavalo de tróia.

Cavalo de Tróia (Trojan horse)

Programa maligno disfarçado de benigno. Comum em jogos online! Desde pop-ups a apagar
arquivos, roubo de dados (como os vírus e vermes), prover acesso remoto. Não se replica -> Precisa
da interação do usuário.
Backdoor / Trapdoor
Uma porta secreta em um programa para acesso fora dos procedimentos normais de
acesso seguro. Novo serviço ou alteração de serviço existente. Não infecta outros programas.
Deixado por programadores para debug e testes ou por invasores para facilitar acessos futuros.
Trojans e vermes são conhecidos por deixar backdoors.

Rootkit
Conjunto de programas para ocultar atividade do invasor e fornecer acesso Privilegiado. Escondem
arquivos, processos, conexões. Programas que substituem partes legítimas do SO (comandos).

Ransomware
Restringe acesso ao computador invadido e requer um pagamento ao criador do malware
para remoção da restrição.Arquivos são criptografados, MBR ou tabela de partição são alterados. E-
mails e propagandas maliciosas são bem utilizados para propagá-los.

Keyloggers
Armazenar (logar!) o uso do teclado e envio automático das informações capturadas. Soluções
baseadas em software e hardware. Bancos desenvolveram os teclados virtuais -> screenloggers.

Logic Bomb
Código embutido em algum programa e “explode” a partir de determinada condição (data).

Grayware
Aplicações que não são classificadas diretamente como malware, mas podem afetar o desempenho
do computador e gerar riscos de segurança.
Spyware: coleta informação sobre uma pessoa e/ou organização e envia essa informação sem
o consentimento do usuário
Adware: pacote de software que gera propagandas buscando receita para seu autor. Aqui
pensamos em propagandas não desejadas, geralmente na forma de pop-ups.

Botnet
Bot: programa autônomo que realiza tarefas.
Existem bots bons (gerenciavam IRC)
Os bots mals evoluíram: DDoS, trojan, Worms. Rede de bots controlados por um mestre que
fazem: probing de larga escala, enviar e-mails de phishing, DDoS, SPAM em larga escala.

Comportamentos de Malwares. Em computadores infectados geralmente podemos perceber:

◦ Aparecimento de arquivos estranhos, programas ou ícones de desktop;
◦ A tela do computador congela ou o sistema trava;
◦ E-mails são enviados “espontaneamente” sem seu conhecimento;
◦ Arquivos foram modificados ou removidos;
◦ Problemas para se conectar a redes;

Classes de ataque:

Ataques Passivos: (de reconhecimento)

◦ Eavesdropping, sniffer, keylogger, spyware…
◦ Bisbilhotar, monitorar transmissões: objetivo é obter informações.
◦ Muito difíceis de serem detectados! Devemos focar na prevenção usando, normalmente, criptografia.

Ataques Ativos: Modificação do fluxo de dados ou criação de um fluxo falso: Man-in-the-Middle.

É muito difícil impedir absolutamente este tipo de ataque devido à grande quantidade de
vulnerabilidades! Objetivo passa a ser detectar e recuperar-se!
Atacantes e seus Objetivos

Script Kiddies
◦ Novato que segue "receitas de bolo" disponíveis na Internet. Não sabem exatamente porque
aquilo funciona, buscam “fama” com os colegas da escola, com os colegas das redes sociais.

Hacker
◦ Ataca sistemas pelo desafio técnico, por status ou pela "adrenalina" da invasão.
◦ Constrói suas próprias ferramentas. Consideram-se “A ELITE”.

Cracker, defacer, vândalo

◦ Hacker com fins destrutivos.

White Hat:
É um hacker (possivelmente aposentado) que trabalha como consultor de segurança. hacker
ético.

Grey Hat:
Cometem crimes e fazem ações não éticas, mas não para ganho pessoal ou causar
danos. Podem comprometer uma rede e depois informar a empresa.

Black Hats:
(computer criminals).

Espião(Corporate raider, cybercriminals).

Ataca sistemas dos concorrentes e roubam informação para ganho financeiro ou competitivo.

Terroristas: (Cyberterrorist, hacktivists)

◦ Atacam para causar medo ou por motivação política.

Tipos de Ataques

Remote access, Remote control:

◦ Acesso remoto (sem login) explorando vulnerabilidades (buffer overflow, falhas em Web
servers).
◦ Controle remoto de um host (backdoor, rootkits).

Privilege scalation:
◦ Obter mais acesso do que permitido (tornar-se root).

Defacement:
◦ Alteração de informação (mudar páginas de sites Web)

Phishing:
◦ Tentativa de conseguir informação sensível (senhas, cartão de crédito) se fazendo passar por
alguém confiável. Exemplo: e-mail do tipo "clique aqui para ganhar um prêmio". É uma forma
de engenharia social.

Sniffing:
Captura de Pacotes.
Modelagem de Ameaças

Seis categorias
◦ Spoofing: se passar por outro falsificando dados buscando ganhar alguma vantagem.

◦ Tampering: modificação de dados, sistemas, componentes de sistemas ou seus

comportamentos. Esse conceito também existe na indústria.

◦ Repudiation: autor de ação consegue negar que foi ele?

◦ Information disclosure, data leak, privacy breach: dados sensíveis, protegidos ou

confidenciais são copiados, transmitidos, vistos, roubados, usados por alguém
desautorizado.

◦ Denial of Service: máquina, rede, sistema se torna indisponível para seus usuários.

◦ Elevation of privilege: explorar falha/fraqueza de aplicação ou SO para elevar seu

nível de acesso.

Classificação de Vulnerabilidades

CVE: é um glossário que classifica vulnerabilidades de software e hardware mantido pela MITRE
◦ Criado como base de comunicação para indústria de tecnologia e segurança. Cada vulnerabilidade
recebe um ID CVE-{ano}-{ID}.

CVSS, v3.1: busca avaliar o nível de uma vulnerabilidade em uma escala de 0 a 10 avaliando
facilidade de exploração e impacto: acesso físico, necessidade de autenticação, impacto em
confidencialidade.

Classificação por impacto potencial (Nessus)

◦ Vulnerabilidades Críticas
◦ Vazamento de informações
◦ Negação de serviços
◦ Falha em implementar melhores práticas

Vulnerabilidades Críticas: São os problemas de mais alta prioridade. A sua exploração pode
levar a execução de programas, escalada de privilégios, comprometimento do sistema, etc.

◦ Buffer overflow (transbordamento de memória): O tipo mais famoso e explorado de

vulnerabilidade crítica. O programador não limita a quantidade de informação que pode ser
escrita em uma determinada área de memória (string, array, etc.). O “estouro” da memória
ocorre quando o programa copia os dados de entrada para o buffer sem verificar o seu
tamanho.
◦ Travessia de diretórios: Problema comum encontrado em vários protocolos/aplicações que
mapeiam pedidos dos usuários para caminhos de arquivos locais.
◦ Ataques de formatação de strings: Permite que um atacante passe como parâmetro
especificadores de conversão (ex: %d”, “%s”) e faça com que sejam processados mais dados
do que o programador considerou originalmente. Permite que endereços de memória sejam
sobrescritos e códigos maliciosos sejam executados.
◦ Senhas default: A maioria dos equipamentos e softwares vem configurados com usuários e
senhas default (padrão), documentados e bem conhecidos. Elas facilitam a instalação e
 configuração inicial. É muito comum os administradores esquecerem de alterar esses usuários
e contas.
◦ Configurações erradas: Por inexperiência, displicência ou pressa, muitas vezes
configurações erradas ficam ativas por muito tempo .
◦ Backdoors conhecidos: Redes com administradores inexperientes facilmente têm pelo
menos um sistema com backdoors conhecidos. Trojans: capturadores de teclado, mouse,
senhas, área de desktop. Geralmente são instalados por um atacante para ter novo acesso
após um ataque bem sucedido. Ou seja, um backdoor significa que a rede já foi atacada e
vários ativos podem ter sido comprometidos.

Vulnerabilidades IP e Ameaças

O objetivo de ataques DoS é fazer com que usuários legítimos não acessem websites, email,
contas online e outros serviços. Um DoS distribuído (DDoS) combina múltiplos ataques DoS.

Ataques de IP spoofing acontecem quando o atacante cria pacotes com informações falsas de IP
origem para tanto esconder a identidade do remetente ou para se passar por um usuário legítimo.
O atacante pode, então, ganhar acesso a dados inacessíveis anteriormente ou desviar de
configurações de segurança.

Um ataque de DHCP spoofing cria um servidor DHCP para oferecer informações falsificadas.

Etapas de um Ataque

1. Footprinting (reconhecimento): Coleta de informações essenciais para o ataque.

2. Scanning (varredura): Quais sistemas estão ativos e alcançáveis, nomes de máquinas, faixas de IP
3. Enumeration (enumeração): Consultas diretas ao sistema, identificação de permissões.
4. Ganhando acesso (invasão): Tentam encontrar sistemas com falhas conhecidas.
5. Escalada de privilégios: Já com acesso comum, busca acesso completo ao sistema (root).
6. Acesso à informação: Busca violar algum dos objetivos de segurança: Confidencialidade, integrida..
7. Ocultação de rastros: Invasor tenta evitar detecção da presença.
8. Instalação de backdoors (portas de entrada): Objetivo é a manutenção do acesso.
9. Denial of Service (negação de serviço): objetivo de bloquear serviços.

Um Modelo de Segurança de Rede e Alguns Conceitos

Quando uma mensagem deve ser transferida de um emissor para o destinatário:

COMPONENTES:

Transformação relacionada à segurança: alterar a mensagem de modo a torná- la ilegível para o

oponente.

Informação secreta: informação utilizada junto ao algoritmo da etapa anterior para alterar a
mensagem.

Terceiro confiável: auxilia no desenvolvimento métodos para distribuir e compartilhar informações

secretas.

Protocolo: passos realizados pelas duas entidades de modo a se alcançar um serviço de segurança.
 Quando queremos proteger nosso sistema de informação de acessos indesejados:
COMPONENTES:

Portaria (gatekeeper): login + senha, lógica de filtragem para barrar vírus, vermes, etc.

Controles internos: monitoram a atividade e analisam a informação em uma tentativa de detectar a

presença de intrusos.

Mecanismo específico
◦ Podem ser incorporados a camada de protocolo apropriada a fim de oferecer algum serviço de
segurança. Criptografia ◦ Assinatura digital ◦ Controle de acesso ◦ Integridade, etc.

Mecanismo pervasivo
◦ São mecanismos que não são específicos a qualquer serviço de segurança OSI ou uma camada de
protocolo específica. medidas de recuperação de falhas, Detecção de eventos, etc.

Segurança Física: Ameaças

Fatores naturais
◦ Inundação, Furacões, Terremotos, Raios, Tempestade de gelo, Tornado
◦ Explosões, Desabamentos, Incêndios
◦ Infestação

Falhas em equipamentos
◦ Curto-circuito
◦ Subtensão, sobretensão

Fatores humanos envolvidos

◦ Acesso físico não autorizado (infraestrutura predial)
◦ Vandalismo, Roubo, Furto
◦ Negligência, Despreparo e Desinformação

Segurança Física: Soluções

Proteção contra fatores/desastres naturais

◦ Sensores para monitoramento de temperatura, água
◦ Corte de energia
◦ Plano de recuperação de desastres

Proteção física das instalações de TI

◦ Identificação de funcionários (crachás)
◦ Circulação limitada de pessoas em áreas críticas
◦ Cofres, backup
◦ Proteção contra vandalismos (cabos de rede, rede elétrica)

Controle de Acesso

Decidir quem pode acessar que recursos e como.

Autenticação: usuários e administradores devem provar que são quem dizem ser.
Autorização: determina que recursos os usuários podem acessar e que operações são permitidos
ao usuário.
Contabilidade: registra o que o usuário faz e quando.
Norma BS 7799: Norma padrão de segurança da informação. Foca em três aspectos:
◦ Integridade
◦ Confidencialidade
◦ Disponibilidade

LGPD
Lei que tem como objetivo regulamentar o tratamento de dados pessoais pelas empresas. Proteção à
privacidade; Liberdade de expressão, informação, comunicação e opinião; Inviolabilidade da
intimidade, honra e da imagem; etc.
Autoridade Nacional de Proteção de Dados (ANPD)
Órgão de natureza federal vinculada à Presidência da República nos primeiros dois anos de sua
implementação, com funções de natureza normativo interpretativa, fiscalizatória e integrativa.

Engenharia Social

É a manipulação de uma pessoa de forma que ela revele, conscientemente ou não, informações
sigilosas. Essencialmente, consiste em “hackear” a pessoa para roubar informação.

Phishing: enviar “iscas”, mensagens eletrônicas (e-mail) com o objetivo de atrair a atenção e fazer as
vítimas revelarem informações privilegiadas.

Pharming é um tipo específico de phishing que envolve alterações no serviço DNS de modo a
redirecionar o usuário para uma página falsa.

Spear Phishing: ao contrário do phishing que é amplo e disperso, foca em um grupo ou organização
específico.

Vishing é a prática de utilizar engenharia social através de telefonia, ou seja, por voz.

Smishing: trata-se do phishing por SMS.

Exploração em Redes Sociais: é uma modalidade baseada no uso das informações que publicamos
em nossas redes.

Hoaxing: é um ataque que consiste na divulgação em massa de e-mails falsos, divulgando boatos.

Baiting: é uma técnica através da qual os atacantes deixam à disposição do usuário um dispositivo
infectado com malware, como pen-drive ou CD, com a intenção de despertar a curiosidade do
indivíduo.

Quid pro quo: ocorre quando um hacker requer informações privadas de alguém em troca de algo.

Dumpster Diving: refere-se ao ato de vasculhar o lixo alheio em busca de informações sensíveis.

Shoulder surfing: ocorre quando o atacante se aproveita para olhar sobre o ombro da vítima,
espionando sua tela, em busca de senhas e informações sigilosas.

Tailgating: é quando um indivíduo não autorizado segue um indivíduo autorizado até localizações de
acesso restrito, explorando a boa vontade ou distração.