Introdução à segurança cibernética

A rede conectada de informações eletrônicas tornou-se parte integrante de nossas

vidas diárias. A segurança cibernética é o esforço contínuo para proteger esses sistemas em
rede e todos os dados de usos não autorizados ou prejudiciais. Como indivíduo, você precisa
proteger sua identidade, seus dados e seus dispositivos de computação. No nível corporativo,
é responsabilidade de todos proteger a reputação, os dados e os clientes da empresa. Como
Estado, a segurança nacional e o bem-estar dos cidadãos estão em jogo.

 Sua identidade on-line e off-line

Sua identidade on-line é você no espaço cibernético. Sua identidade on-line é como
você se apresenta aos outros on-line. A identidade on-line só deve revelar uma quantidade
limitada de informações sobre você. O nome de usuário não deve fazer com que estranhos
pensem que você é um alvo fácil para crimes cibernéticos ou atenção indesejada.

 Seus dados
Qualquer informação sobre você pode ser considerada seus dados. Essa informação
pessoal pode identificá-lo unicamente como um indivíduo. Esses dados incluem as fotos e as
mensagens que você troca on-line com sua família e amigos. Outras informações, como nome,
CPF, data e local de nascimento, ou o nome de solteira da mãe, são conhecidas por você e
usadas para identificá-lo. Informações médicas, educacionais, financeiras e de emprego
também podem ser usadas para identificá-lo on-line.

 Onde estão seus dados?

Quando você compartilha suas fotos on-line com seus amigos, sabe quem pode ter
uma cópia das fotos? As cópias das fotos estão em seus próprios dispositivos. Seus amigos
podem ter cópias dessas fotos baixadas em seus dispositivos. Se as fotos forem compartilhadas
publicamente, estranhos também poderão ter cópias delas. Eles podem baixar as fotos ou
fazer capturas de tela. Como as fotos foram postadas on-line, elas também estão salvas em
servidores localizados em diferentes partes do mundo. Agora as fotos já não são encontradas
apenas em seus dispositivos de computação.

Os cartões de fidelidade da loja podem ser uma maneira conveniente de guardar

dinheiro para suas compras. No entanto, a loja está compilando um perfil de suas compras e
faz uso dessas informações. O perfil mostra que um comprador adquire uma determinada
marca e sabor de pasta de dentes regularmente. A loja usa essas informações para enviar ao
comprador ofertas especiais do parceiro de marketing. Usando o cartão de fidelidade, a loja e
o parceiro de marketing têm um perfil para o comportamento de compra do cliente.

 Seus dispositivos de computação

Seus dispositivos de computação não armazenam somente dados. Agora, esses

dispositivos tornaram-se o portal para seus dados e geram informações sobre você. Com todas
essas informações sobre você disponíveis on-line, seus dados pessoais tornaram-se rentáveis
para os hackers.

 Eles querem sua identidade

Além de roubar seu dinheiro para obter um ganho monetário de curto prazo, ao
roubar sua identidade, os criminosos querem lucros a longo prazo. Os ladrões de identidade
podem roubar seu seguro médico e usar os benefícios. Com a identidade roubada, também
podem abrir contas de cartão de crédito e acumular dívidas em seu nome, causando danos à
sua classificação de crédito e dificultando a obtenção de empréstimos. As credenciais pessoais
também podem resultar no acesso a dados corporativos e governamentais.

 Dados Tradicionais

Dados corporativos incluem informações de funcionários, propriedades intelectuais e

informações financeiras.

Confidencialidade, integridade e disponibilidade, conhecida como a Tríade CID.

1. Confidencialidade - Garante a privacidade dos dados, restringindo o acesso

através de autenticação por criptografia. ID de usuário e senha, autenticação de
dois fatores e diminuição da exposição de informações confidenciais.

2. Integridade - garante que as informações sejam precisas e confiáveis durante

todo o seu ciclo de vida. Os dados devem permanecer inalterados durante o
 trânsito e não modificados por entidades não autorizadas. O hash da soma de
verificação pode ser usado para verificar a integridade dos dados durante a
transferência. Uma soma de verificação é usada para verificar a integridade dos
arquivos, ou de strings de caracteres, depois de terem sido transferidos de um
dispositivo para outro pela rede local ou pela Internet. As somas de verificação
são calculadas com funções hash. Algumas das somas de verificação comuns são
MD5, SHA-1, SHA-256 e SHA-512. Uma função hash usa um algoritmo
matemático para transformar os dados no valor de tamanho fixo que os
representa. O valor de hash está simplesmente ali para comparação. Com o valor
de hash, os dados originais não podem ser recuperados diretamente. Por
exemplo, se você esquecer a senha, ela não poderá ser recuperada com o valor
hash. A senha deve ser redefinida. Depois de baixar um arquivo, você pode
verificar a integridade com os valores de hash da fonte em relação aos que foram
gerados usando qualquer calculadora de hash. Ao comparar os valores de hash,
você pode garantir que o arquivo não tenha sido adulterado ou danificado
durante a transferência.
3. A disponibilidade garante que as informações possam ser acessadas por pessoas
autorizadas.

 As consequências de uma violação de segurança

1. Reputação arruinada
2. Vandalismo
3. Roubo
4. Perda de receita
5. Propriedade intelectual prejudicada

Os invasores sempre encontrarão novas formas de atingir as redes. Um ataque

cibernético avançado e com alvo específico será bem-sucedido. A prioridade
então será a velocidade com a qual a sua equipe de segurança poderá responder
ao ataque para minimizar a perda de dados, o período de inatividade e a receita.

 Violação de segurança

Um tablet de brinquedo tornou-se um novo alvo para hackers. Os clientes

tinham compartilhado fotos e usado os recursos de bate-papo nos tablets de
brinquedo. A informação não foi protegida corretamente, e o site da empresa não
tinha suporte para comunicação de SSL seguro. Mesmo que a violação não
tivesse exposto qualquer informação de cartão de crédito e dados de
identificação pessoal, a empresa teve a venda de ações suspensa, devido à
grande preocupação com a invasão. A Vtech não protegeu as informações dos
clientes corretamente e elas foram expostas durante a violação. Mesmo que a
empresa tenha informado a seus clientes que havia hash nas senhas, os hackers
conseguiram decifrá-las. As senhas no banco de dados foram embaralhadas
usando a função hash MD5, mas as perguntas e respostas de segurança foram
armazenadas em texto simples. Infelizmente, a função hash MD5 tem
 vulnerabilidades conhecidas. Os hackers podem determinar as senhas originais
ao comparar milhões de valores de hash pré-calculados. Com as informações
expostas nesta violação de dados, os criminosos digitais poderiam usá-las para
criar contas de e-mail, conseguir créditos e cometer crimes antes que as crianças
tivessem idade suficiente para ir à escola. Em relação aos pais dessas crianças,
os criminosos digitais poderiam assumir as contas on-line, porque muitas
pessoas reutilizam as senhas em sites e contas diferentes.

 Tipos de invasores

Os invasores são indivíduos ou grupos que tentam explorar

vulnerabilidades para ganho pessoal ou financeiro. Os invasores estão
interessados em tudo, de cartões de crédito a projetos de produtos e qualquer
coisa com valor.

Amadores – às vezes, essas pessoas são chamadas de hackers inexperientes. São

normalmente invasores com pouca ou nenhuma qualificação profissional, muitas vezes
usando ferramentas atuais ou instruções encontradas na Internet para lançar ataques.
Alguns são apenas curiosos, enquanto outros tentam demonstrar suas qualificações
profissionais e causar danos. Eles podem estar usando ferramentas básicas, mas os
resultados ainda podem ser devastadores

Hackers – este grupo de invasores entra em computadores ou redes para obter acesso.
Dependendo da intenção da invasão, esses invasores são classificados como white, grey
ou black hat. Os invasores white hat entram em redes ou sistemas de computador para
descobrir fraquezas, com o objetivo de melhorar a segurança. Essas invasões são feitas
com prévia autorização e todos os resultados são relatados ao proprietário. Por outro
lado, os invasores “do mal” (black hat) aproveitam qualquer vulnerabilidade para ganho
pessoal, financeiro ou ganho político. Os invasores suspeitos (gray hat) situam-se entre
os invasores “do bem” (white hat) e os invasores “do mal” (black hat). Os invasores
grey hat podem encontrar uma vulnerabilidade em um sistema. Os hackers grey hat
poderão relatar a vulnerabilidade aos proprietários do sistema se essa ação coincidir
com sua agenda. Alguns hackers gray hat publicam os fatos sobre a vulnerabilidade na
Internet para que outros invasores possam explorá-la.

Hackers organizados – esses hackers incluem empresas de criminosos virtuais,

hacktivistas, terroristas e hackers patrocinados pelo Estado. Os criminosos virtuais
geralmente são grupos de criminosos profissionais, focados em controle, poder e
riqueza. Os criminosos são altamente sofisticados e organizados e ainda podem fornecer
o crime digital como um serviço a outros criminosos. Os hacktivistas fazem declarações
políticas para sensibilizar para questões que são importantes para eles. Os invasores
patrocinados pelo estado reúnem informações ou cometem sabotagem em nome de seu
governo. Esses invasores geralmente são altamente treinados e bem remunerados e seus
ataques são concentrados em objetivos específicos e benéficos para o seu governo.

 Ameaças internas e externas

Ameaças externas de amadores ou invasores habilidosos podem explorar

vulnerabilidades na rede ou em dispositivos de computação ou usar a engenharia social
para obter acesso.
Ameaças internas também têm o potencial de causar maior dano que as ameaças
externas, pois os usuários internos têm acesso direto ao edifício e a seus dispositivos de
infraestrutura. Um usuário interno, como um funcionário ou parceiro de contrato, pode,
de forma acidental ou intencional:

 Tratar erroneamente os dados confidenciais

 Ameaçar as operações de servidores internos ou de dispositivos de infraestrutura

de rede

 Facilitar ataques externos conectando mídias USB infectadas no sistema de

computador corporativo

 Convidar acidentalmente malware para a rede por e-mail ou sites mal-

intencionado

 O que é a guerra cibernética?

O espaço cibernético tornou-se outra dimensão importante da guerra,

onde nações podem ter conflitos sem confrontos com tropas tradicionais e
máquinas. Dessa forma, países com presença militar mínima são tão fortes
quanto outras nações no espaço cibernético. Guerra cibernética é um conflito na
Internet que envolve a invasão de redes e sistemas de computação de outras
nações. Estes invasores têm os recursos e conhecimentos para lançar ataques
massivos, na Internet, contra outras nações para causar danos ou interromper
serviços, como desligar uma rede de energia. Um exemplo de um ataque
patrocinado pelo Estado envolveu o malware Stuxnet, que foi concebido para
danificar a usina de enriquecimento nuclear do Irã. O malware Stuxnet não
sequestrou os computadores de destino para roubar informações. Ele foi
projetado para danificar o equipamento físico controlado por computadores.
Usou a codificação modular programada para executar uma tarefa específica
dentro do malware. Usou certificados digitais roubados para que o ataque
parecesse legítimo para o sistema.

O principal objetivo da guerra cibernética é obter vantagem sobre os

adversários, sejam eles nações ou concorrentes. Uma nação pode continuamente
invadir a infraestrutura de outro país, roubar segredos de defesa e coletar
informações sobre tecnologia para diminuir as defasagens no seus setores e na
área militar. Além de espionagem industrial e militarista, a guerra cibernética
pode sabotar a infraestrutura de outras nações e acabar com vidas nas nações
atacadas. Por exemplo, um ataque pode interromper a rede de energia de uma
grande cidade. O tráfego seria prejudicado. A troca de bens e serviços é
interrompida. Os pacientes não podem ter os cuidados necessários em situações
de emergência. O acesso à Internet também pode ser interrompido. Por afetar a
rede elétrica, o ataque pode prejudicar a rotina de cidadãos comuns. Além disso,
dados confidenciais comprometidos podem oferecer aos invasores a capacidade
de chantagear funcionários do governo. As informações podem permitir que um
invasor finja ser um usuário autorizado para acessar informações confidenciais
 ou equipamentos. Caso o governo não possa se defender contra os ataques
cibernéticos, os cidadãos perdem a confiança na capacidade do governo de
protegê-los. A guerra cibernética pode desestabilizar uma nação, afetar o
comércio e abalar a confiança dos cidadãos no governo sem nunca invadir
fisicamente o país alvo.

Cap 2

 Encontrar vulnerabilidades de segurança

Vulnerabilidades de segurança são qualquer tipo de defeito de software ou

hardware. Após descobrirem uma vulnerabilidade, os usuários mal-intencionados
tentam explorá-lo. Um exploit é o termo usado para descrever um programa escrito para
utilizar uma vulnerabilidade conhecida. O ato de usar um exploit contra uma
vulnerabilidade é conhecido como um ataque. O objetivo do ataque é ter acesso a um
sistema, aos dados que ele hospeda ou a um recurso específico.

 Categorizar vulnerabilidades de segurança

1. Saturação do buffer(buffer Overflow)

2. Entrada não validada
3. Condição de corrida
4. Deficiências nas práticas de segurança
5. Problemas de controle de acesso

OBS:

4 -sistemas e dados confidenciais podem ser protegidos por meio de técnicas, como
autenticação, autorização e criptografia. Os desenvolvedores não devem tentar criar seus
próprios algoritmos de segurança porque provavelmente apresentarão vulnerabilidades.
É altamente recomendável que os desenvolvedores usem as bibliotecas de segurança
que já foram criadas, testadas e verificadas

5- controle de acesso é o processo de controlar quem faz o quê, gerenciar o acesso físico
aos equipamentos e determinar quem tem acesso a um recurso, como um arquivo, e o
que pode fazer com ele, tais como ler ou alterar esse arquivo. Muitas vulnerabilidades
de segurança são criadas com o uso indevido de controles de acesso.

Quase todos os controles de acesso e as práticas de segurança poderão ser superados se

o invasor tiver acesso físico ao equipamento de destino. Por exemplo, não importa para
quais permissões o arquivo é definido; o sistema operacional não pode impedir alguém
de ignorá-lo e ler os dados diretamente no disco. Para proteger a máquina e os dados
que ela contém, o acesso físico deve ser restrito e as técnicas de criptografia devem ser
usadas para proteger dados contra roubo ou danos.
  Tipos de malware

Abreviação de “Malicious Software” (software mal-intencionado), o malware é

qualquer código que pode ser usado para roubar dados, ignorar controles de acesso,
causar danos ou comprometer um sistema.

Spyware – este malware é projetado para rastrear e espionar o usuário. O spyware

frequentemente inclui rastreadores de atividade, coleta de toque de tela e captura de
dados. Para tentar combater as medidas de segurança, o spyware quase sempre modifica
as configurações de segurança. Muitas vezes, o spyware se junta ao software legítimo
ou a cavalos de Troia.

Adware – o software com suporte a anúncio é projetado para fornecer anúncios

automaticamente. O adware é frequentemente instalado com algumas versões do
software. Alguns tipos de adware são projetados para oferecer somente anúncios, mas
também é comum que o adware venha com spyware.

Bot- da palavra “robot”, um bot é o malware projetado para executar automaticamente a

ação, geralmente on-line. Enquanto a maioria dos bots é inofensiva, uma utilização
progressiva de bots mal-intencionados são os botnets. Vários computadores estão
infectados com bots que são programados para esperar calmamente os comandos
fornecidos pelo invasor.

Ransomware – este malware é projetado para manter preso um sistema de computador,

ou os dados incluídos nele, até que o pagamento seja feito. O ransomware normalmente
funciona criptografando os dados no computador com uma chave desconhecida ao
usuário. Outras versões do ransomware podem lançar mão das vulnerabilidades de
sistemas específicos para bloquear o sistema. O ransomware é espalhado por um
arquivo baixado ou alguma vulnerabilidade de software.

Scareware – este é um tipo de malware projetado para persuadir o usuário a executar

uma ação específica com base no medo. O scareware simula janelas pop-up que se
assemelham às janelas de diálogo do sistema operacional. Essas janelas transmitem
mensagens falsificadas que afirmam que o sistema está em risco ou precisa da execução
de um programa específico para retornar à operação normal. Na realidade, nenhum
problema foi avaliado ou detectado. Se o usuário concordar e executar o programa
mencionado para a limpeza, seu sistema será infectado com malware.

Rootkit – este malware é projetado para modificar o sistema operacional e criar um

backdoor. Os invasores usam o backdoor para acessar o computador remotamente. A
maioria dos rootkits utiliza as vulnerabilidades do software para escalonar privilégios e
modificar arquivos de sistema. Também é comum os rootkits modificarem a
computação forense do sistema e as ferramentas de monitoramento, o que os torna
muito difíceis de ser detectados. Muitas vezes, um computador infectado por um rootkit
deve ser apagado e reinstalado.
Vírus - um vírus é um código executável mal-intencionado que é anexado a outros
arquivos executáveis, muitas vezes programas legítimos. A maioria dos vírus necessita
de ativação do usuário final e pode ser ativada em uma hora ou data específica. Os vírus
podem ser inofensivos e apenas exibir uma imagem ou podem ser destrutivos, como os
que modificam ou excluem dados. Os vírus também podem ser programados para se
modificar e evitar a detecção. Agora, a maioria dos vírus é espalhada por unidades de
USB, discos ópticos, compartilhamentos de rede ou e-mail.

Cavalo de Troia - um Cavalo de Troia é um malware que realiza operações mal-

intencionadas sob o pretexto de uma operação desejada. Esse código malicioso explora
os privilégios do usuário que o executa. Muitas vezes, os Cavalos de Troia são
encontrados em arquivos de imagem, arquivos de áudio ou jogos. Um Cavalo de Troia
difere de um vírus porque está vinculado aos arquivos não executáveis.

Worms – worms são códigos maliciosos que se replicam ao explorar, de forma

independente, vulnerabilidades em redes. Os worms normalmente deixam a rede mais
lenta. Enquanto um vírus requer um programa host para execução, os worms podem ser
executados de modo autônomo. Exceto pela infecção inicial, eles não necessitam mais
da participação do usuário. Após infectar um host, um worm pode ser transmitido muito
rapidamente pela rede. Worms compartilham padrões similares. Todos eles habilitam
uma vulnerabilidade, uma maneira de se propagar, e todos eles contêm uma carga.

Os worms são responsáveis por alguns dos ataques mais devastadores na Internet em
2001, o worm Code Red infectou 658 servidores. Em 19 horas, o worm infectou mais
de 300.000 servidores.

Man-In-The-Middle (MitM) – o MitM permite que o invasor tenha o controle sobre

um dispositivo sem o conhecimento do usuário. Com esse nível de acesso, o invasor
pode interceptar e capturar informações do usuário antes de transmiti-las ao seu destino
desejado. Os ataques MitM são amplamente utilizados para roubar informações
financeiras. Muitos malwares e técnicas existem para fornecer aos invasores recursos de
MitM.

Man-In-The-Mobile (MitMo) – uma variação do Man-In-Middle, MitMo é um tipo de

ataque usado para assumir o controle de um dispositivo móvel. Quando infectado, o
dispositivo móvel pode ser instruído a extrair as informações confidenciais do usuário e
enviá-las para os invasores. ZeuS, um exemplo de exploit com capacidades de MitMo,
permite que os invasores capturem silenciosamente as mensagens de SMS de
verificação de 2 passos enviadas para os usuários.

 Sintomas do malware

Independentemente do tipo de malware que infectou um sistema, estes são sintomas

comuns:

 Há um aumento no uso da CPU.

 Há uma diminuição na velocidade do computador.

 O computador congela ou trava frequentemente.

  Há uma diminuição na velocidade de navegação na Web.

 Existem problemas inexplicáveis com conexões de rede.

 Arquivos são modificados.

 Arquivos são excluídos.

 Há presença de arquivos, programas ou ícones de desktop desconhecidos.

 Há processos desconhecidos em execução.

 Programas estão se desligando ou reconfigurando sozinhos.

 E-mails estão sendo enviados sem o conhecimento ou consentimento do usuário.

 Engenharia social

É um ataque de acesso que tenta manipular indivíduos para realizar ações ou

divulgar informações confidenciais. Os engenheiros sociais frequentemente
dependem da boa vontade das pessoas para ajuda, mas também miram nos
pontos fracos. Por exemplo, um invasor pode chamar um funcionário
autorizado com um problema urgente, que requer acesso imediato à rede. O
invasor pode recorrer à vaidade do funcionário, valer-se de autoridade usando
técnicas que citam nomes ou apelar para a ganância do funcionário.

Há alguns tipos de ataques de Engenharia social:

 Pretexting - Ocorre quando um invasor chama uma pessoa e mente para ela na
tentativa de obter acesso a dados confidenciais. Um exemplo envolve um
invasor que finge precisar de dados pessoais ou financeiros para confirmar a
identidade do destinatário.

 Tailgating - quando um invasor rapidamente segue uma pessoa autorizada em

um local seguro.

 Something for Something (Quid pro quo) - ocorre quando um invasor solicita
informações pessoais de uma pessoa em troca de algo, como um presente.

 Quebra de senha de acesso à rede WiFi

A quebra de senha de acesso à rede WiFi é o processo de descobrir a senha

usada para proteger uma rede sem fio. Estas são algumas técnicas usadas na
quebra de senha:
 Engenharia social – o invasor manipula uma pessoa que conhece a senha para
fornecê-la.

Ataques de força bruta – o invasor tenta várias senhas possíveis na tentativa de

adivinhar a correta. Se a senha for um número de 4 dígitos, por exemplo, o
invasor precisaria tentar cada uma das 10.000 combinações. Ataques de força
bruta, normalmente, envolvem um arquivo de lista de palavras. É um arquivo de
texto contendo uma lista de palavras tiradas de um dicionário. Um programa
tenta, então, cada palavra e combinações comuns. Como os ataques de força
bruta levam tempo, senhas complexas demoram mais tempo para serem
descobertas. Algumas ferramentas de senha de força bruta incluem Ophcrack
L0phtCrack, THC-Hydra, RainbowCrack e Medusa.

 Sniffing de rede – ao ouvir e capturar pacotes enviados na rede, um invasor

poderá descobrir a senha, se ela estiver sendo enviada sem criptografia (em texto
sem formatação). Se a senha for criptografada, o invasor ainda poderá revelá-la
usando uma ferramenta de quebra de senha.

 Phishing

O phishing ocorre quando uma parte mal-intencionada envia um e-mail fraudulento

disfarçado de uma fonte legítima e confiável. A intenção da mensagem é enganar o
destinatário para instalar o malware no dispositivo dele ou compartilhar informações
pessoais ou financeiras. Um exemplo de phishing é um e-mail falsificado para parecer
que foi enviado de uma loja de varejo, solicitando que o usuário clique em um link para
receber um prêmio. O link pode ir para um site falso que pede informações pessoais ou
pode instalar um vírus.

Spear phishing é um ataque de phishing altamente direcionado. Embora o phishing e o

spear phishing usem e-mails para alcançar as vítimas, os e-mails do spear phishing são
personalizados para uma pessoa específica. O invasor pesquisa os interesses da vítima
antes de enviar o e-mail. Por exemplo, um invasor descobre que a vítima está
interessada em carros, procurando um modelo específico de carro para comprar. O
invasor entra no mesmo fórum de discussão de carros utilizado pela vítima, forja uma
oferta de venda de carro e envia um e-mail para a vítima. O e-mail contém um link para
as fotos do carro. Quando a vítima clica no link, o malware é instalado no computador
de destino.

 Exploração de vulnerabilidade

Explorar vulnerabilidades é outro método comum de infiltração. Os invasores

fazem a varredura de computadores para obter informações sobre eles. Veja
abaixo um método comum para explorar vulnerabilidades:

Etapa 1. Colete informações sobre o sistema de destino. Isto poderia ser

feito de várias maneiras diferentes como um scanner de porta ou engenharia
social. O objetivo é aprender o máximo possível sobre o computador de destino.
 Etapa 2. Uma das informações relevantes que aprendeu na etapa 1 pode
ser o sistema operacional, sua versão e uma lista de serviços que ele executa.

Etapa 3. Quando o sistema operacional e a versão do alvo são

conhecidos, o invasor procura quaisquer vulnerabilidades conhecidas específicas
para essa versão do sistema operacional ou outros serviços do sistema
operacional.

Etapa 4. Quando é encontrada uma vulnerabilidade, o invasor procura

um exploit anteriormente escrito para usar. Se nenhum exploit tiver sido escrito,
o invasor pode considerar escrever um exploit.A Figura 1 retrata um invasor
usando whois, um banco de dados público da Internet, contendo informações
sobre nomes de domínio e seus registrados. A Figura 2 retrata um invasor
usando a ferramenta nmap, um scanner de porta popular. Com um scanner de
porta, um invasor pode sondar portas de um computador-alvo para saber quais
serviços estão sendo executados nele.

Ameaças persistentes avançadas

Uma maneira de obter a infiltração é por Advanced Persistent Threat (APTs).

Elas consistem em uma operação multifase, de longo prazo, furtiva e avançada
contra um alvo específico. Devido à sua complexidade e ao nível necessário de
qualificação profissional, a APT é geralmente bem financiada. Uma APT aponta
para empresas ou nações por motivos comerciais ou políticos. Geralmente
relacionada à espionagem pela rede, a finalidade da APT é implantar malware
personalizado em um ou vários dos sistemas-alvo e ainda continuar
despercebida. Com várias fases da operação e tipos personalizados de malware
que afetam diferentes dispositivos e executam funções específicas, um invasor
individual frequentemente não tem o conjunto de qualificações profissionais,
recursos ou persistência para realizar APTs.

 DoS

Os ataques de negação de serviço (DoS) são um tipo de ataque à rede. Um

ataque de negação de serviço (DoS) resulta em algum tipo de interrupção de
serviço aos usuários, dispositivos ou aplicações. Existem dois tipos principais de
ataque de negação de serviço (DoS):

Grande quantidade de tráfego - quando uma rede, um host ou um aplicativo

recebe uma enorme quantidade de dados a uma taxa que não consegue
processar. Isso causa uma desaceleração na transmissão ou resposta ou uma
falha em um dispositivo ou serviço.

Pacotes formatados de forma mal-intencionada - quando um pacote

formatado de forma mal-intencionada é enviado para um host ou aplicativo e o
receptor não consegue contê-lo. Por exemplo, um invasor encaminha pacotes
com erros que não podem ser identificados pelo aplicativo ou encaminha pacotes
formatados incorretamente. Isso causa lentidão ou falha na execução do
dispositivo receptor.Os ataques de negação de serviço (DoS) são considerados
um grande risco porque podem facilmente interromper a comunicação e causar
 perda significativa de tempo e dinheiro. Esses ataques são relativamente simples
de conduzir, mesmo por um invasor não capacitado.

 DDoS

Um ataque de negação de serviço distribuída (DDoS) é semelhante a um ataque de

negação de serviço (DoS), mas é proveniente de várias fontes coordenadas. Por
exemplo, um ataque de negação de serviço distribuída (DDoS) pode ocorrer da seguinte
maneira:Um invasor cria uma rede de hosts infectados, denominada botnet. Os
hospedeiros infectados são chamados de zumbis. Os zumbis são controlados por
sistemas de controladores.Os computadores zumbis examinam e infectam
constantemente mais hosts, criando mais zumbis. Quando está pronto, o hacker instrui
os sistemas de controladores para fazer com que o botnet de zumbis execute um ataque
de negação de serviço distribuída (DDoS).Clique em Play (Reproduzir) na figura para
visualizar as animações de um ataque DDoS.

Envenenamento de SEO

Os mecanismos de busca, como o Google, classificam as páginas e apresentam

resultados relevantes com base nas consultas da pesquisa dos usuários. Dependendo da
relevância do conteúdo do site, ele pode aparecer mais alto ou mais baixo na lista de
resultado da pesquisa. SEO, abreviação de Search Engine Optimization (Otimização de
mecanismos de busca), é um conjunto de técnicas usadas para melhorar a classificação
do site por um mecanismo de pesquisa. Embora muitas empresas legítimas se
especializem na otimização de sites para melhor posicioná-las, um usuário mal-
intencionado pode usar o SEO para que um site mal-intencionado fique mais alto nos
resultados da pesquisa. Esta técnica é chamada de envenenamento de SEO.O objetivo
mais comum do envenenamento de SEO é aumentar o tráfego em sites maliciosos que
podem hospedar malware ou executar engenharia social. Para forçar um site malicioso a
obter uma classificação mais elevada nos resultados de pesquisa, os invasores utilizam
termos de busca populares.

 O que é um ataque misto?

Ataques mistos são ataques que usam várias técnicas para comprometer um alvo.
Usando várias técnicas de ataque diferentes ao mesmo tempo, os invasores têm um
malware híbrido de worms, cavalos de Troia, spyware, keyloggers, spam e esquemas de
phishing. Esta tendência de ataques mistos está revelando malwares mais complexos e
colocando os dados do usuário em grande risco.

O tipo mais comum de ataque misto usa mensagens de e-mail de spam, mensagens
instantâneas ou sites legítimos para distribuir links onde o malware ou o spyware é
secretamente baixado para o computador. Outro ataque misto comum usa DDoS
combinado com e-mails de phishing. Primeiro, o DDoS é usado para derrubar o site de
um banco popular e enviar e-mails para os clientes do banco, pedindo desculpas pelo
inconveniente. O e-mail também direciona os usuários para um site de emergência
forjado, onde suas informações reais de login podem ser roubadas.
Muitos dos worms que mais danificam o computador, como Nimbda, CodeRed,
BugBear, Klez e Slammer, são categorizados como ataques mistos, como mostrado
abaixo:

 Algumas variantes de Nimbda utilizaram anexos de e-mail, downloads de arquivos de

um servidor da Web comprometido e compartilhamento de arquivos da Microsoft (por
exemplo, compartilhamentos anônimos) como métodos de propagação.

 Outras variantes do Nimbda foram capazes de modificar contas de convidado do

sistema para fornecer privilégios administrativos ao código malicioso ou ao invasor.

Os recentes worms Conficker e ZeuS/LICAT também foram ataques mistos. O

Conficker usou todos os métodos tradicionais de distribuição.

 O que é redução de impacto?

Embora a maioria das empresas de sucesso atualmente esteja ciente dos problemas de
segurança comuns e se esforçe para preveni-los, nenhum conjunto de práticas de
segurança é 100% eficiente. Já que uma violação poderá acontecer se o prêmio for
grande, as empresas também devem estar preparadas para conter os danos.

É importante entender que o impacto de uma violação não está apenas relacionado ao
aspecto técnico, aos dados roubados, aos bancos de dados danificados ou ao dano à
propriedade intelectual, pois o dano também se estende à reputação da empresa.
Responder a uma violação de dados é um processo muito dinâmico.

Abaixo estão algumas medidas importantes que uma empresa deve tomar quando é
identificada uma violação de segurança, de acordo com muitos especialistas de
segurança:

 Comunique o problema. Internamente, os funcionários devem ser informados sobre

problema e agir rapidamente. Externamente, os clientes devem ser informados
através de comunicação direta e anúncios oficiais. A comunicação cria transparência,
que é crucial neste tipo de situação.

 Seja sincero e responsável se a falha for da empresa.

 Forneça detalhes. Explique o motivo pelo qual a situação ocorreu e o que foi
comprometido. Também é esperado que a empresa assuma os custos dos serviços de
proteção contra roubo de identidade para os clientes afetados.

 Entenda o que causou e facilitou a violação. Se necessário, contrate especialistas em

computação forense para pesquisar e informar os detalhes.

 Aplique o que foi aprendido com a investigação de computação forense para não
ocorrerem violações semelhantes no futuro.

 Verifique se todos os sistemas estão limpos, nenhum backdoor foi instalado e nada
mais foi comprometido. Os invasores, muitas vezes, tentarão deixar um backdoor para
facilitar futuras violações. Certifique-se de que isso não aconteça.
  Oriente os funcionários, parceiros e clientes sobre como evitar futuras violações.

Cap 3

 Proteger os dispositivos de computação

Os dispositivos de computação armazenam seus dados e são o portal para a sua

vida on-line.

Mantenha o firewall ativado – seja um software de firewall ou um firewall de

hardware em um roteador, ele deve estar ativado e atualizado para impedir que
hackers acessem dados pessoais ou da empresa.

Use o antivírus e antispyware Mantenha seu software atualizado para proteger

o computador contra os mais recentes softwares mal-intencionados.

Gerencie o sistema operacional e o navegador . Para proteger o computador e

os dados, defina as configurações de segurança no computador e navegador como
intermediárias ou altas. Atualize o sistema operacional do computador, incluindo
navegadores da Web e, regularmente, baixe e instale os patches de software mais
recentes e atualizações de segurança dos fornecedores.

Proteja todos os dispositivos Para dispositivos móveis, só armazene as

informações necessárias, caso estes dispositivos sejam roubados ou extraviados
quando você estiver longe de sua casa. Se qualquer um dos dispositivos estiver
comprometido, os criminosos poderão ter acesso a todos os seus dados através do
provedor de serviços de armazenamento em nuvem, como o iCloud ou Google
Drive.

 Usar redes sem fio com segurança

Redes sem fio permitem que dispositivos habilitados com WiFi, como notebooks
e tablets, se conectem à rede através do identificador de rede, conhecido como
Service Set Identifier (SSID). Para impedir que invasores entrem na rede sem fio
residencial, deve-se alterar a senha padrão do SSID para acesso administrativo
através do navegador. Você deve criptografar a comunicação sem fio ao permitir a
segurança sem fio e o atributo de criptografia WPA2 no roteador sem fio. Mesmo
com a criptografia WPA2 habilitada, a rede sem fio ainda pode estar vulnerável. Em
outubro de 2017, foi descoberta uma falha de segurança no protocolo WPA2. Essa
falha permite a um invasor quebrar a criptografia entre o roteador sem fio e o cliente
sem fio, além de acessar e manipular o tráfego de rede. Esta vulnerabilidade pode
ser explorada usando Key Reinstallation Attacks (KRACK)

Muitos dispositivos móveis, como smartphones e tablets, vêm com o protocolo

sem fio Bluetooth. Esse recurso permite que dispositivos habilitados para Bluetooth
conectem-se entre si e compartilhem informações. Infelizmente, o Bluetooth pode
ser explorado por hackers para bisbilhotar alguns dispositivos, estabelecer controles
de acesso remoto, distribuir malware e drenar as baterias. Para evitar esses
problemas, mantenha o Bluetooth desligado quando você não estiver usando.
  Criptografar seus dados

O que é criptografia? Criptografia é o processo de converter as informações em

um formato que não pode ser lido por uma pessoa não autorizada. Somente uma
pessoa confiável, autorizada com a chave secreta ou uma senha pode
descriptografar os dados e acessá-los em sua forma original. A criptografia em si
não impede que alguém intercepte os dados. A criptografia só pode impedir uma
pessoa não autorizada de exibir ou acessar o conteúdo. O EFS (Encrypting File
System, Sistema de Criptografia de Arquivos) é uma característica do Windows
que pode criptografar dados. O EFS está vinculado diretamente a uma conta de
usuário específica. Apenas o usuário que criptografou os dados poderá acessá-
los depois de eles terem sido criptografados usando EFS. Para criptografar os
dados usando EFS em todas as versões do Windows, siga estes passos:

Passo 1. Selecione um ou mais arquivos ou pastas.

Passo 2. Clique com o botão direito nos dados selecionados >Propriedades.

Passo 3. Clique em Avançado...

Passo 4. Marque a caixa de seleção Criptografar conteúdo para proteger os

dados.

Passo 5. Os arquivos e as pastas que foram criptografados com EFS são

exibidos em verde, como mostrado na figura.

 Backup dos seus dados

Para fazer backup de dados corretamente, você precisará de um local de

armazenamento adicional para onde deverá copiá-los, de forma regular e
automática.

 Excluir os dados permanentemente

Quando você move um arquivo para a lixeira e o exclui permanentemente, o arquivo só

está inacessível para o sistema operacional. Qualquer um com as ferramentas forenses
corretas ainda pode recuperar o arquivo devido ao rastro magnético deixado no disco
rígido.

Para apagar dados de modo que eles não sejam recuperáveis, os dados devem ser
substituídos por um e zero várias vezes. Para impedir a recuperação de arquivos
excluídos, talvez seja necessário usar ferramentas especificamente projetadas para isso.
O programa SDelete da Microsoft (para o Vista e versões posteriores) alega ter a
capacidade de remover completamente os arquivos confidenciais. Shred para Linux e
Secure Empty Trash para Mac OSX são algumas ferramentas que alegam proporcionar
um serviço semelhante.
A única maneira de ter a certeza de que os dados ou arquivos não são recuperáveis é
destruir fisicamente o disco rígido ou o dispositivo de armazenamento. A insensatez de
muitos criminosos é pensar que os arquivos são impenetráveis ou irrecuperáveis.

Além de armazenar dados nos discos rígidos locais, os dados também podem ser
armazenados on-line na nuvem. As cópias também precisarão ser eliminadas. Reserve
um momento para se perguntar: onde salvo meus dados? Eles estão salvos em outro
local? Eles estão criptografados? Quando você precisar excluir os dados ou se livrar de
um disco rígido ou computador, pergunte a si mesmo: os dados estão protegidos para
que não caiam em mãos erradas?

 Autenticação de dois fatores

Serviços on-line populares, como Google, Facebook, Twitter, LinkedIn, Apple e

Microsoft, usam autenticação de dois fatores para adicionar uma camada extra de
segurança nos logins de conta. Além do nome de usuário e senha ou número de
identificação pessoal (PIN) ou padrão, a autenticação de dois fatores requer um segundo
token, como:

 Objeto físico - cartão de crédito, cartão de débito, telefone ou fob

 Verificação biométrica - impressão digital, impressão palmar, facial ou

reconhecimento de voz

Mesmo com a autenticação de dois fatores, os hackers ainda conseguem acessar as

contas on-line através de ataques, como phishing, malware e engenharia social.

 OAuth 2.0

Open Authorization (OAuth) é um protocolo padrão aberto que permite às credenciais

de um usuário final acessar aplicativos de terceiros sem expor a senha do usuário.
OAuth funciona como o intermediário para decidir se deseja permitir aos usuários finais
o acesso a aplicativos de terceiros. Por exemplo, digamos que você deseja acessar o
aplicativo da Web XYZ e não tem uma conta de usuário para acessá-lo. No entanto, o
XYZ tem a opção de permitir que você faça logon usando as credenciais de um site de
redes sociais ABC. Então, acesse o site usando o logon de redes sociais.

Para que isso funcione, o aplicativo “XYZ” é registrado com “ABC” e está aprovado.
Quando você acessar XYZ, usará suas credenciais de usuário de ABC. Então, XYZ
solicita um token de acesso do ABC em seu nome. Agora, você tem acesso ao XYZ.
XYZ não sabe nada sobre você e suas credenciais de usuário, e essa interação é
totalmente simples para o usuário. Usar tokens secretos impede que um aplicativo mal-
intencionado receba suas informações e seus dados.

 Não compartilhe muitas informações nas redes sociais

Se você quiser manter a privacidade nas redes sociais, compartilhe o mínimo de

informação possível. Você não deve compartilhar informações, como data de
nascimento, endereço de e-mail ou número de telefone, no seu perfil. As pessoas que
precisam de suas informações pessoais provavelmente já conhecem tais informações.
Não preencha completamente seu perfil de redes sociais; só forneça as informações
necessárias. Além disso, verifique as configurações de redes sociais para permitir que
somente pessoas que você conheça veja suas atividades ou participe das suas conversas.

Quanto mais informações pessoais você compartilha on-line, mais fácil será para
alguém criar um perfil sobre você e se beneficiar com isso off-line.

Você já esqueceu o nome de usuário e a senha de uma conta on-line? Perguntas de

segurança como "Qual é o nome de solteira da sua mãe?" ou "Em qual cidade você
nasceu?" são supostamente para ajudar a manter sua conta segura contra invasores. No
entanto, qualquer pessoa que queira acessar suas contas pode procurar as respostas na
Internet. Você pode responder a estas perguntas com informações falsas, desde que
consiga lembrar delas. Se você tiver dificuldade de lembrar, poderá usar o gerenciador
de senhas para gerenciá-las.

 Privacidade de e-mail e navegador da Web

Todos os dias, milhões de mensagens de e-mail são usadas para comunicação com
amigos e negócios. E-mail é a maneira adequada de se comunicar rapidamente. O envio
de um e-mail é semelhante ao envio de uma mensagem usando um cartão postal. A
mensagem de cartão postal pode ser vista por qualquer pessoa; a mensagem de e-mail é
transmitida em texto sem formatação e pode ser lida por qualquer pessoa que tenha
acesso. Estas comunicações também são passadas entre diferentes servidores na rota até
o destino. Mesmo quando você apaga suas mensagens de e-mail, elas podem ser
arquivadas nos servidores de e-mail por algum tempo.

Qualquer pessoa com acesso físico ao computador ou roteador pode visualizar os sites
que você visitou usando o histórico do navegador da Web, cache e possivelmente os
arquivos de log. Este problema pode ser minimizado ao habilitar o modo de navegação
em privado no navegador da Web. A maioria dos navegadores populares da Web tem
seu próprio nome para o modo de navegação privada:

 Microsoft Internet Explorer: InPrivate

 Google Chrome: Incognito

 Mozilla Firefox: Aba privada / janela privada

 Safari: Privado: Navegação privada

Com o modo privado ativado, os cookies estão desabilitados; os arquivos de Internet

temporários e o histórico de navegação são removidos depois de fechar a janela ou o
programa.

Manter privado o histórico de navegação de Internet pode impedir que outros coletem
informações sobre suas atividades on-line e atraiam você para comprar algo com
anúncios direcionados. Mesmo com a navegação privada habilitada e os cookies
desabilitados, as empresas estão desenvolvendo maneiras diferentes de identificar
exclusivamente os usuários para reunir informações e rastrear o comportamento do
usuário. Por exemplo, os dispositivos intermediários, como roteadores, podem ter
informações sobre o histórico de navegação na Web de um usuário.

Em última análise, você é responsável por proteger seus dados, sua identidade e seus
dispositivos de computação. Quando você envia um e-mail, deve incluir seus registros
médicos? Na próxima vez que você navegar na Internet, a transmissão estará segura?
Apenas algumas precauções simples podem evitar problemas mais tarde.

Cap4

Tipos de firewall

O firewall é uma parede ou partição projetada para impedir que o fogo se espalhe de uma parte de um
edifício para outra. Em redes de computador, um firewall controla ou filtra quais comunicações podem
entrar ou sair de um dispositivo ou uma rede, como mostrado na figura. Um firewall pode ser instalado em
um único computador com o objetivo de protegê-lo (firewall baseado em host), ou pode ser um dispositivo
de rede autônomo que protege uma rede de computadores e todos os dispositivos hospedados na rede
(firewall pela rede).

Ao longo dos anos, à medida que os ataques à rede e aos computadores tornaram-se mais sofisticados,
novos tipos de firewalls foram desenvolvidos para propósitos diferentes na proteção de uma rede. Esta é
uma lista dos tipos comuns de firewall:

 Firewall de camada de rede – filtragem baseada em endereços IP de origem e destino

 Firewall de camada de transporte – filtragem baseada em portas de origem e destino de dados e

em estados de conexão

 Firewall de camada de aplicação – filtragem baseada em aplicativo, programa ou serviço

 Firewall de aplicação com reconhecimento de contexto – filtragem baseada em usuário,

dispositivo, função, tipo de aplicativo e perfil de ameaça

 Servidor proxy – filtragem de solicitações de conteúdo da Web, como URL, domínio, mídia etc.

 Servidor proxy reverso – colocado na frente de servidores da Web, os servidores proxy protegem,
ocultam, fazem o offload e distribuem o acesso a servidores da Web

 Firewall Network Address Translation (NAT) – oculta ou disfarça os endereços privados de hosts
de rede

 Firewall baseado em host – filtragem de portas e chamadas de serviço do sistema em um sistema

operacional de computador único

Varredura de porta

A varredura de porta é um processo de sondagem de um computador, servidor ou outro host de rede em

busca de portas abertas. Na rede, cada aplicativo em execução em um dispositivo recebe um identificador
ou número de porta. Esse número da porta é usado em ambas as extremidades da transmissão para que
os dados certos sejam passados ao aplicativo correto. A varredura de porta pode ser usada de forma mal-
intencionada como uma ferramenta de reconhecimento para identificar o sistema operacional e os
serviços em execução em um host ou computador, ou pode ser usada por um administrador de rede, sem
causar danos, para verificar as políticas de segurança da rede.

Para avaliar a segurança de porta e o firewall da rede do computador, use uma ferramenta de varredura
de porta, como Nmap, para localizar todas as portas abertas na rede. A varredura de porta pode ser
considerada como um precursor para um ataque à rede e, portanto, não deve ser feita em servidores
públicos na Internet ou em uma rede corporativa sem permissão.

Para executar uma varredura de porta Nmap de um computador na rede domiciliar local, baixe e inicialize
um programa como o Zenmap, forneça o endereço IP de destino do computador que você gostaria de
verificar, escolha um perfil de varredura padrão e inicie a varredura. A varredura Nmap relatará quaisquer
serviços em execução (por exemplo, serviços da Web, serviços de e-mail etc.) e os números de porta. A
varredura de uma porta geralmente resulta em uma destas três respostas:

 Aberta ou aceita – o host respondeu indicando que um serviço está escutando na porta.

 Fechada, negada ou não escutando – o host respondeu indicando que as conexões serão
negadas à porta.

 Filtrada, descartada ou bloqueada – não houve resposta do host.

Para executar uma varredura de porta da rede a partir de fora da rede, inicie a varredura de fora da rede.
Isto implicará na execução de uma varredura de porta Nmap no seu firewall ou endereço IP público do
roteador. Para descobrir seu endereço IP público, use um mecanismo de pesquisa, como o Google, com
a consulta "qual é o meu endereço IP". O mecanismo de pesquisa retornará seu endereço IP público.

Para executar uma varredura de seis portas comuns no seu roteador domiciliar ou firewall, vá para o
scanner de porta Nmap on-line em https://hackertarget.com/nmap-online-port-scanner/ e digite o endereço
IP público na caixa de entrada: endereço IP a ser verificado… e pressione Quick Nmap Scan (Varredura
Nmap rápida). Se a resposta for open para qualquer uma das portas: 21, 22, 25, 80, 443 ou 3389, então
provavelmente o encaminhamento de portas foi habilitado em seu roteador ou firewall, e você está
executando servidores na sua rede privada, como mostrado na figura.

Equipamentos de segurança

Atualmente, não há equipamentos de segurança ou tecnologia que solucionará todas as necessidades de

segurança da rede. Como há uma variedade de equipamentos de segurança e ferramentas que precisa
ser implementada, é importante que todos eles trabalhem juntos. Equipamentos de segurança são mais
eficazes quando fazem parte de um sistema.

Equipamentos de segurança podem ser dispositivos autônomos, como um roteador ou firewall, uma placa
que pode ser instalada em um dispositivo de rede ou um módulo com seu próprio processador e memória
em cache. Equipamentos de segurança também podem ser ferramentas de software executadas em um
dispositivo de rede. Os equipamentos de segurança enquadram-se nestas categorias gerais:

 Roteadores 
 Firewalls 
 IPS 
 VPN 

Detecção de ataques em tempo real

O software não é perfeito. Quando um hacker explora uma falha em uma parte do software antes do
criador poder corrigi-la, isso é conhecido como um ataque de dia zero. Devido à sofisticação e à grande
quantidade de ataques de dia zero que ocorrem atualmente, os ataques à rede estão se tornando comuns
e uma defesa bem-sucedida é avaliada de acordo com a velocidade em que uma rede pode responder a
um ataque. A capacidade de detectar ataques, como eles acontecem em tempo real, bem como parar os
ataques imediatamente, ou dentro de minutos da ocorrência, é o objetivo ideal. Infelizmente, muitas
empresas são incapazes de detectar ataques, em até dias ou mesmo meses depois que eles ocorreram.

 Varredura em tempo real da borda para o endpoint - a detecção de ataques em tempo real
requer a varredura ativa de ataques usando firewall e dispositivos de rede IDS/IPS. A detecção de
malware de cliente/servidor de última geração com conexões a centros de ameaças on-line globais
também deve ser usada. Atualmente, os softwares e dispositivos de varredura ativos devem
detectar anomalias de rede usando a detecção de comportamento e análise baseada em contexto.

 Ataques de DDoS e resposta em tempo real - DDoS é a maior ameaça de ataque, que exige
resposta e detecção em tempo real. É extremamente difícil se defender de ataques de DDoS, pois
eles originam centenas ou milhares de hosts zumbis e aparecem como tráfego legítimo, conforme
mostrado na figura. Para muitas empresas, os ataques de DDoS que ocorrem regularmente
prejudicam os servidores de Internet e a disponibilidade de rede. A capacidade de detectar e
responder a ataques de DDoS em tempo real é crucial.

Proteção contra malware

Como você oferece defesa contra a constante presença de ataques de dia zero, bem como ameaças
persistentes avançadas (APT) que roubam dados por longos períodos? Use uma solução de detecção de
malware de nível empresarial avançada que oferece a detecção de malware em tempo real.

Os administradores da rede devem monitorá-la constantemente para detectar sinais de malware ou

comportamentos que revelam a presença de um APT. A Cisco tem uma Proteção avançada contra
malware (AMP) que analisa milhões de arquivos com segurança e correlaciona-os a centenas de milhões
de outros artefatos de malware analisados. O AMP é um software de servidor/cliente, implantado em
dispositivos finais (endpoints), como um servidor autônomo, ou em outros dispositivos de segurança de
rede.

Práticas recomendadas de segurança

 Realizar a avaliação de risco – Saber o valor do que você está protegendo ajudará a justificar as
despesas de segurança.

 Criar uma política de segurança – Criar uma política que define claramente as regras da
empresa, os deveres e as expectativas do trabalho.

 Medidas de segurança física – Restringir o acesso a racks de rede, locais de servidor, bem como
supressão de fogo.

 Medidas de segurança de recursos humanos – Os antecedentes dos funcionários devem ser

devidamente pesquisados.

 Executar e testar backups – Fazer backups regulares e teste de recuperação de dados de

backups.

 Manter atualizações e patches de segurança – Atualizar regularmente o servidor e os sistemas

operacionais e programas de dispositivos de rede e do cliente.

 Empregar controles de acesso – Configurar funções de usuário e níveis de privilégio, bem como
autenticação forte ao usuário.

 Testar regularmente a resposta a incidentes – Empregar uma equipe de resposta a incidentes e

testar cenários de resposta a emergências.

 Implementar uma rede de monitoramento, análise e ferramenta de gerenciamento - Escolher

uma solução de gerenciamento de segurança que se integra a outras tecnologias.
  Implementar dispositivos de segurança de rede – Use roteadores next generation, firewalls e
outros dispositivos de segurança.

 Implementar uma solução abrangente de segurança de endpoint – Use software antivírus e

antimalware de nível corporativo.

 Treinar os usuários – Treinar os usuários e funcionários nos procedimentos de segurança.

 Criptografar dados – Criptografar todos os dados confidenciais da empresa, incluindo e-mail.

Botnet

Uma botnet é um grupo de robôs (bots), conectados pela Internet, com a capacidade de ser controlado
por um indivíduo ou grupo mal-intencionado. Um computador bot normalmente é infectado por visitar um
site, abrir um anexo de e-mail ou abrir um arquivo de mídia infectado.

Uma botnet pode ter dezenas de milhares, ou até mesmo centenas de milhares, de robôs. Esses robôs
podem ser ativados para distribuir malware, lançar ataques de DDoS, distribuir e-mail de spam ou
executar ataques de senha de força bruta. Botnets são geralmente controlados por um servidor de
comando e controle.

Os criminosos virtuais frequentemente alugam Botnets, por uma taxa, para terceiros com finalidade
inapropriada.

Kill Chain na defesa cibernética

Em segurança cibernética, a Kill Chain consiste nas etapas de um ataque de sistemas de informação.
Desenvolvida pela Lockheed Martin como uma estrutura de segurança para detecção e resposta a
incidente, a Cyber Kill Chain é composta das seguintes etapas:

Etapa 1. Reconhecimento - o invasor reúne informações sobre o alvo.

Etapa 2. Armamento - o invasor cria um exploit e payload mal-intencionado para enviar ao alvo.

Etapa 3. Entrega -o invasor envia o exploit e o payload mal-intencionado para o alvo por e-mail ou outro
método.

Etapa 4. Exploração - o exploit é executado.

Etapa 5 Instalação - malware e backdoors são instalados no alvo.

Etapa 6. Comando e controle - controle remoto do alvo é adquirido por um servidor ou canal de
comando e controle.

Etapa 7. Ação - o invasor executa ações mal-intencionadas, como roubo de informações, ou executa
ataques adicionais em outros dispositivos de dentro da rede, percorrendo novamente as etapas da Kill
Chain.

Para se defender contra a Kill Chain, as defesas de segurança de rede são projetadas contra essas
etapas. Estas são algumas perguntas sobre as defesas de segurança da empresa, com base na Cyber
Kill Chain:

• Quais são os indicadores de ataque em cada etapa da Kill Chain?

• Quais ferramentas de segurança são necessárias para detectar os indicadores de ataque em cada uma
das etapas?

• Existem lacunas na capacidade de a empresa detectar um ataque?

De acordo com a Lockheed Martin, compreender as etapas de Kill Chain permitiu colocar obstáculos
defensivos, retardar o ataque e, finalmente, evitar a perda de dados. A figura mostra como cada etapa de
Kill Chain equivale a um aumento na quantidade de esforço e custo para inibir e remediar ataques.

Segurança baseada em comportamento

Segurança baseada em comportamento é uma forma de detecção de ameaças que não depende de
assinaturas mal-intencionadas conhecidas, mas em vez disso, usa o contexto de informações para
detectar anomalias na rede. A detecção baseada em comportamento envolve capturar e analisar o fluxo
de comunicação entre um usuário na rede local e um destino local ou remoto. Estas comunicações,
quando capturadas e analisadas, revelam o contexto e os padrões de comportamento que podem ser
usados para detectar anomalias. A detecção baseada em comportamento pode descobrir a presença de
um ataque por uma mudança no comportamento normal.

 Honeypots - a Honeypot é uma ferramenta de detecção baseada em comportamento que primeiro

atrai o invasor apelando ao padrão previsto de comportamento malicioso, e então, quando dentro
da honeypot, o administrador de rede pode capturar, registrar e analisar o comportamento do
invasor. Isso permite que um administrador obtenha mais conhecimento e desenvolva uma defesa
melhor.

 Arquitetura de soluções da Threat Defense Cyber da Cisco - esta é uma arquitetura de

segurança que usa detecção baseada em comportamento e indicadores para fornecer maior
visibilidade, contexto e controle. O objetivo é saber quem, o quê, onde, quando e como um ataque
está ocorrendo. Essa arquitetura de segurança usa muitas tecnologias de segurança para atingir
esse objetivo.

NetFlow

A Tecnologia NetFlow é usada para coletar informações sobre dados fluindo por uma rede. NetFlow é um
componente importante na análise e detecção baseada em comportamento. Switches, roteadores e
firewalls equipados com NetFlow podem relatar informações sobre dados que entram, saem e se
deslocam pela rede. As informações são enviadas para os coletores NetFlow que coletam, armazenam e
analisam registros de NetFlow.

Manual de segurança

A tecnologia está em constante mudança. Isso significa que os ataques cibernéticos estão evoluindo
bastante. As novas vulnerabilidades e métodos de ataque são descobertos continuamente. A segurança
está se tornando uma preocupação corporativa importante por causa da reputação resultante e o impacto
financeiro de violações de segurança. Os ataques estão apontando redes importantes e dados
confidenciais. As empresas devem ter planejamento, preparação, método e recuperação de uma violação.

Uma das melhores maneiras de se preparar para uma violação de segurança é evitá-la. Deve haver
orientação para identificar o risco de segurança cibernética para sistemas, ativos, dados e recursos;
proteger o sistema com a implementação de proteções e treinamento de pessoal; e detectar eventos de
segurança cibernética o mais rápido possível. Quando é detectada uma violação de segurança, as ações
apropriadas devem ser tomadas para minimizar o impacto e os danos. O plano de resposta deve ser
flexível com várias opções de ação durante a violação. Depois de conter a violação e restaurar os
sistemas e serviços comprometidos, as medidas e os processos de segurança devem ser atualizados
para incluir as lições aprendidas durante a violação.

Todas estas informações devem ser compiladas em um manual de segurança. Um manual de segurança
é uma coleção de consultas repetidas (relatórios) em fontes de dados de evento de segurança que levam
à detecção e resposta a incidente. O manual de segurança deve realizar as seguintes ações:
  Detectar máquinas infectadas com malware.

 Detectar atividades suspeitas na rede.

 Detectar tentativas de autenticação irregulares.

 Descrever e compreender o tráfego de entrada e de saída.

 Fornecer informações resumidas, incluindo tendências, estatísticas e contagens.

 Dar acesso útil e rápido a estatísticas e métricas.

 Correlacionar eventos em todas as fontes de dados relevantes.

Ferramentas para prevenção e detecção de incidentes

Estas são algumas das ferramentas usadas para detectar e prevenir incidentes de segurança:

 SIEM – um sistema de informações de segurança e gerenciamento de eventos (SIEM) é um

software que recolhe e analisa os alertas de segurança, registros e outros dados históricos e em
tempo real dos dispositivos de segurança na rede.

 DLP – o software de prevenção de perda de dados (DLP) é um sistema de software ou hardware

projetado para impedir que os dados confidenciais sejam roubados ou vazem de uma rede. Um
sistema DLP pode abordar a autorização de acesso de arquivo, a troca de dados, cópia de dados,
monitoramento das atividades do usuário e muito mais. Os sistemas DLP são projetados para
monitorar e proteger dados em três estados diferentes: dados em uso, dados em movimento e
dados em repouso. Dados em uso são focados no cliente, dados em movimento se referem aos
dados em deslocamento pela rede e dados em repouso se referem ao armazenamento de dados.

 Cisco TrustSec e ISE – Cisco Identity Services Engine (Cisco ISE) e Cisco TrustSec executam o
acesso aos recursos da rede através da criação de políticas de controle de acesso por função, que
segmentam o acesso à rede (convidados, usuários de dispositivos móveis, funcionários) sem mais
complexidade. A classificação de tráfego baseia-se na identidade do usuário ou dispositivo. Clique
em Play (Reproduzir) na figura para obter mais informações sobre ISE.

IDS e IPS

Um sistema de detecção de invasão (IDS), mostrado na figura, é um dispositivo de rede dedicado, ou

uma das várias ferramentas em um servidor ou firewall que varre os dados em um banco de dados de
regras ou de assinaturas de ataques, à procura de tráfego mal-intencionado. Se uma correspondência for
detectada, o IDS registrará a detecção de registro e criará um alerta para um administrador de rede. O
sistema de detecção de invasão não age quando uma correspondência é detectada, então não impede os
ataques. O trabalho do IDS é apenas detectar, registrar e relatar.

A varredura realizada pelo IDS deixa a rede mais lenta (conhecido como latência). Para se prevenir contra
o atraso de rede, um IDS é geralmente colocado off-line, separado do tráfego de rede regular. Dados são
copiados ou espelhados por um switch e então encaminhados para o IDS para a detecção off-line.
Também existem ferramentas de IDS que podem ser instaladas sobre o sistema operacional do
computador, como o Linux ou Windows.

Um IPS (sistema de prevenção de intrusão) tem a capacidade de bloquear ou negar o tráfego com base
em uma correspondência de regra ou assinatura positiva. Um dos sistemas mais conhecidos de IPS/IDS
é o Snort. A versão comercial do Snort é o Sourcefire da Cisco. O Sourcefire tem a capacidade de
executar o tráfego em tempo real e análise de porta, gerar registros, buscar e corresponder conteúdo e
pode detectar probes, ataques e varreduras de portas. Ele também se integra com outras ferramentas de
terceiros para geração de relatórios, análise de desempenho e registro

Cap 5

Questões jurídicas em segurança cibernética

Os profissionais de segurança cibernética devem ter as mesmas qualificações profissionais que

os hackers, principalmente os hackers Black Hats, para proteger contra ataques. Uma diferença entre
um hacker e um profissional de segurança cibernética é que o profissional de segurança cibernética
deve trabalhar dentro dos limites da lei.

Questões jurídicas pessoais

Você não precisa ser um funcionário para estar sujeito às leis de segurança cibernética. Na sua vida
privada, você pode ter a oportunidade e as qualificações profissionais para hackear o computador ou a
rede de outra pessoa. Há um velho ditado, "Só porque você pode não significa que deve". Tenha isso em
mente. A maioria dos hackers deixa rastro, conscientemente ou não, e esses rastros podem ser seguidos
para achar o hacker.

Os profissionais de segurança cibernética desenvolvem muitas qualificações profissionais que podem ser
usadas para o bem ou o mal. Aqueles que usam suas qualificações profissionais dentro do sistema
jurídico, para proteger a infraestrutura, as redes e a privacidade, estão sempre em alta demanda.

Questões jurídicas corporativas

A maioria dos países tem algumas leis de segurança cibernética implantadas. Elas podem estar
relacionadas às privacidades individual e corporativa, redes e infraestrutura essencial. As empresas são
obrigadas a respeitar essas leis.

Em alguns casos, se você não cumprir as leis de segurança cibernética ao fazer seu trabalho, a empresa
será punida e você poderá perder seu emprego. Em outros casos, você pode ser processado, multado e
possivelmente condenado.

Em geral, caso você tenha dúvidas sobre a legalidade de uma ação ou conduta, considere-a como ilegal
e não a realize. Sua empresa pode ter um departamento jurídico ou alguém no departamento de recursos
humanos que pode tirar suas dúvidas antes de fazer algo ilegal.

Direito internacional e a segurança cibernética

A área da lei da segurança cibernética é muito mais recente do que a segurança cibernética propriamente
dita. Como mencionado anteriormente, a maioria dos países tem algumas leis implantadas, e haverá mais
leis no futuro.

Empregos de segurança cibernética

Dependendo do seu interesse em segurança cibernética, diferentes tipos de empregos podem

estar disponíveis para você, e podem exigir certificações de qualificações profissionais específicas.
Por exemplo, um especialista em teste de invasão, também conhecido como um hacker ético,
pesquisa e explora as vulnerabilidades de segurança em aplicativos, redes e sistemas. Para se tornar
um especialista em teste de penetração, você precisará adquirir experiência em outros empregos de
TI, como administrador de segurança, administrador de rede e administrador do sistema. Cada um
desses empregos requer seu próprio conjunto de qualificações profissionais que irá ajudá-lo a se
tornar um bem valioso para uma empresa.
 ANOTAÇOES E MATERIAIS AUXILIARES
Redes públicas Wifi

Muitos usuários de Wi-Fi optam por usar redes públicas em vez dos planos de
dados de seus dispositivos para acessar a Internet remotamente. Mas a
conveniência do Wi-Fi público pode ser arriscada. Se você não tomar cuidado, os
hackers podem acessar rapidamente sua conexão e comprometer informações
confidenciais armazenadas no seu dispositivo e em contas online. Aqui estão
algumas etapas que você pode executar para minimizar o risco: 

 Verifique a validade dos pontos de acesso Wi-Fi disponíveis. Se mais de um

hotspot aparecer afirmando pertencer a um estabelecimento em que você
esteja, verifique com a equipe para evitar a conexão com um hotspot impostor.
 Verifique se todos os sites com os quais você troca informações têm "https" no
início do endereço da web. Nesse caso, seus dados transmitidos serão
criptografados.
 Instale um complemento de aplicativo que force seus navegadores da Web a
usar criptografia ao se conectar a sites - mesmo sites conhecidos que
normalmente não criptografam suas comunicações.
 Ajuste as configurações do seu smartphone para que ele não se conecte
automaticamente a redes Wi-Fi próximas. Isso lhe dá mais controle sobre onde
e quando você se conecta.
 Se você usa pontos de acesso Wi-Fi públicos regularmente, considere usar uma
rede privada virtual, que criptografará todas as transmissões entre o dispositivo
e a Internet. Muitas empresas oferecem VPNs para seus funcionários para fins
de trabalho, e os indivíduos podem assinar VPNs por conta própria.
 Ao transmitir informações confidenciais, o uso do plano de dados do celular em
vez do Wi-Fi pode ser mais seguro.

Segurança de rede sem fio doméstica

As redes sem fio domésticas permitem que computadores e dispositivos móveis

compartilhem uma conexão de banda larga com a Internet sem precisar gastar
minutos nos planos de dados de celular. Mas, como todas as outras tecnologias de
rede sem fio, as redes sem fio domésticas apresentam vulnerabilidades que
podem ser exploradas por hackers. Para ajudar a proteger sua rede sem fio
doméstica de usuários indesejados, considere as seguintes etapas:

 Ative a criptografia. Os roteadores sem fio costumam sair da caixa com o

recurso de criptografia desativado; portanto, verifique se ele está ativado logo
após a instalação do roteador. 
 Altere o nome da rede padrão da rede, também conhecido como identificador
do conjunto de serviços ou "SSID". Quando um computador com uma conexão
sem fio procura e exibe as redes sem fio próximas, ele lista cada rede que
transmite publicamente seu SSID. Os fabricantes geralmente atribuem a todos
os roteadores sem fio um SSID padrão, que geralmente é o nome da
empresa. Para segurança adicional, escolha um nome exclusivo e difícil de
adivinhar como seu SSID.
 Altere a senha padrão da rede. A maioria dos roteadores sem fio vem com
senhas predefinidas para administrar as configurações de um dispositivo (isso é
diferente da senha usada para acessar a própria rede sem fio). Os usuários não
autorizados podem estar familiarizados com as senhas padrão, portanto, é
importante alterar a senha do dispositivo roteador assim que instalado. Senhas
mais longas compostas por uma combinação de letras, números e símbolos são
mais seguras.
 Considere usar o filtro de endereço Media Access Control, ou "MAC", no seu
roteador sem fio. Todo dispositivo que pode se conectar a uma rede Wi-Fi
possui um ID exclusivo chamado "endereço físico" ou endereço "MAC". Os
roteadores sem fio podem rastrear os endereços MAC de todos os dispositivos
conectados a eles, e os usuários podem configurar sua rede sem fio para
aceitar conexões apenas de dispositivos com endereços MAC que o roteador
reconhecerá. Para criar outro obstáculo ao acesso não autorizado, considere
ativar o filtro de endereço MAC do seu roteador sem fio para incluir apenas seus
dispositivos.
 Desligue o roteador sem fio quando ele não estiver em uso por um longo
período de tempo.
 Use software antivírus e anti-spyware no seu computador e use aplicativos
semelhantes nos seus dispositivos que acessam sua rede sem fio.

FERRAMENTAS PARA CYBER SEGURANÇA

 RAINBOW TABLE: brute force
 THC-HYDRA: brute force com protocolos da rede
 WIRESHARK: captura de pacotes de rede
 NMAP: mapeamento de rede/scanner de porta/host/vulnerabilidades
 WHOIS: um banco de dados público da Internet, contendo informações sobre
nomes de domínio e seus registrados.
 OPHcrack- utilizado para descobrir a senha do usuário do Windows (Ligar o pc
dando boot pelo OPHcrack conectado no computador através de mídia USB)
 Conficker:
 ZeuS:
 LICAT:
 SDelete, Shred, Secure Empty Trash: alega ter a capacidade de remover
completamente os arquivos confidenciais