Implementando Técnicas de Segurança

UNIVERSIDADE FEDERAL DE JUIZ DE FORA
INSTITUTO DE CIÊNCIAS EXATAS

DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO
SEGURANÇA DE REDE
IMPLEMENTANDO TÉCNICAS DE SEGURANÇA
Júlio Resende
Renato Barbosa
JUIZ DE FORA
SETEMBRO 2013
SEGURANÇA DE REDE
JÚLIO RESENDE
RENATO BARBOSA
Universidade Federal de Juiz de Fora

Instituto de Ciências Exatas
Departamento de Ciência da Computação
Especialização em Redes de Computadores
Orientador: Prof. Klaus Wehmuth
JUIZ DE FORA
SETEMBRO 2013
SEGURANÇA DE REDE
Júlio Resende
Renato Barbosa
MONOGRAFIA SUBMETIDADA AO CORPO DOCENTE DO INSTITUTO DE

CIÊNCIAS EXATAS DA UNIVERSIDADE FEDERAL DE JUIZ DE FORA COMO
PARTE INTEGRANTE DOS REQUISITOS NECESSÁRIOS PARA OBTENÇÃO DO
GRAU DE ESPECIALISTA EM REDES DE COMPUTADORES.
Aprovada por:
_______________________________________________
Nome, título
(Presidente)
______________________________________________
Nome, título
___________________________________
Nome, título
JUIZ DE FORA, MG - BRASIL

SETEMBRO 2013
Resumo
O objetivo desse trabalho é dissertar sobre a Gestão da Segurança da Informação,

descrever as estratégias de segurança, os principais métodos de invasões, os perfis dos
Hackers, as pragas virtuais e os tipos de ataques mais utilizados atualmente. Neste projeto
também será realizado uma implementação com propósito de exemplificar e demonstrar
algumas técnicas que serão descritas nesse trabalho. Essa atividade prática irá produzir
serviços falsos em uma rede e gerar relatórios das ações. Esses serviços servirão para
confundir Hackers que desejam fazer uma invasão à rede de dados, enquanto ocorre à
invasão nos serviços virtuais, todas as ações dos invasores serão monitoradas e gravadas
através de relatórios.
Para a realização prática deste trabalho será necessário o uso de três ferramentas
(softwares), o Valhala Honeypot que irá gerar os serviços falsos de vulnerabilidade, o GFI
Languard que será utilizado para visualizar as vulnerabilidades de uma determinada
máquina na rede, e por último o TCPView que servirá para demonstrar os serviços do
Honeypot, as portas, os protocolos utilizados e o seus respectivos processos ativos.
SUMÁRIO
1 LISTA DE ILUSTRAÇÕES .................................................................... 5

2 INTRODUÇÃO ........................................................................................ 7
3 GESTÃO DA SEGURANÇA DA INFORMAÇÃO .............................. 8
3.1 SEGURANÇA DA INFORMAÇÃO ..................................................................... 9
3.2 CAMADA DE SEGURANÇA FÍSICA ................................................................. 9
3.3 CAMADA DE SEGURANÇA LÓGICA ............................................................. 14
3.4 SEGURANÇA HUMANA ................................................................................... 15
3.5 POLÍTICA DE SEGURANÇA ............................................................................ 17
3.6 ANÁLISE DE RISCOS ........................................................................................ 17
3.7 PROCESO DE GESTÂO DE RISCOS ................................................................ 18
3.8 PLANO DE CONTINGÊNCIAS ......................................................................... 19
4 ESTRATÉGIAS DE SEGURANÇA .................................................... 21
4.1 FUNDAMENTOS DE SEGURANÇA ................................................................ 21
5 ESTRATÉGIAS DE INVASÃO ........................................................... 23
5.1 VÍRUS QUE ALTERA BOLETOS BANCÀRIOS ............................................. 23
5.2 VÍRUS STUXNET ............................................................................................... 23
5.3 INVASÔES ........................................................................................................... 24
6 HACKERS .............................................................................................. 26
6.1 PERFIL DOS HACKERS .................................................................................... 26
7 MALWARES - PRAGAS VIRTUAIS ................................................. 29
8 TIPOS DE ATAQUES ........................................................................... 32
9 IMPLEMENTANDO TÉCNICAS DE SEGURANÇA ...................... 37
10 GFI LANGUARD ................................................................................... 38
10.1 DOWNLOAD DO GFI LANGUARD .............................................................. 38
10.2 CONFIGURAÇÃO DO GFI LANGUARD ..................................................... 39
11 VALHALA HONEYPOT ...................................................................... 43
11.1 DOWNLOAD DO VALHALA HONEYPOT .................................................. 43
11.2 CONFIGURAÇÃO ........................................................................................... 43
12 TCPVIEW ............................................................................................... 46
12.1 DOWNLOAD DO TCPVIEW .......................................................................... 46
13 IMPLEMENTAÇÃO ............................................................................. 47
13.1 ESCANEAMENTO DA REDE ........................................................................ 48
13.2 RELÁTORIO DO VALHALA HONEYPOT .................................................. 49
13.3 RESULTADOS DO TCPVIEW ....................................................................... 50
13.4 INVASÃO VIA PROMPT DE COMANDO DO WINDOWS ........................ 51
CONCLUSÃO ............................................................................................... 52
REFERÊNCIAS BIBLIOGRÁFICAS ........................................................ 53
GLOSSÁRIO ................................................................................................. 56
1 LISTA DE ILUSTRAÇÕES
ILUSTRAÇÃO 1 Instalações internas Data Center....................................................................10
ILUSTRAÇÃO 2 Esquema de Rede Elétrica Redundante N+1....................................................11
ILUSTRAÇÃO 3 Esquema de Rede Elétrica Duplamente Redundante 2(N+1)................................12
ILUSTRAÇÃO 4 Insuflamentos de ar.....................................................................................13
ILUSTRAÇÃO 5 Processo de Gestão de Riscos........................................................................18
ILUSTRAÇÃO 6 Código do boleto........................................................................................23
ILUSTRAÇÃO 7 Alteração do código do boleto.......................................................................23
ILUSTRAÇÃO 8 Simatic S7.................................................................................................24
ILUSTRAÇÃO 9 Controle do carro transferido para uma manete de videogame.............................25
ILUSTRAÇÃO 10 Incidentes reportados ao CERT.br...............................................................28
ILUSTRAÇÃO 11 Modelo de Rogue.....................................................................................30
ILUSTRAÇÃO 12 Tela inicial GFI Languard..........................................................................39
ILUSTRAÇÃO 13 Configuração do GFI Languard.................................................................. 40
ILUSTRAÇÃO 14 Configuração das portas TCP do GFI Languard............................................ .41
ILUSTRAÇÃO 15 Configuração das portas UDP do GFI Languard.............................................42
ILUSTRAÇÃO 16 Configuração dos serviços do Honeypot.......................................................43
ILUSTRAÇÃO 17 Tela de configuração Valhala Honeypot.......................................................44
ILUSTRAÇÃO 18 Serviços ativados para teste.......................................................................45
ILUSTRAÇÃO 19 Ferramenta TCPView ativa.......................................................................46
ILUSTRAÇÃO 20 Serviços ativos da máquina 192.168.1.103 sem o Honeypot............................47
ILUSTRAÇÃO 21 Scanner da rede com os serviços do Honeypot ativos.....................................48

ILUSTRAÇÃO 22 Relatório de monitoramento do Honeypot....................................................49
ILUSTRAÇÃO 23 Cont. Relatório de monitoramento do Honeypot ...........................................49
ILUSTRAÇÃO 24 Demonstrativo dos serviços Honeypot ativos na máquina...............................50
ILUSTRAÇÃO 25 Invadindo via Prompt do Windows.............................................................51

7
2 INTRODUÇÃO
Nos últimos anos foram feitas várias melhorias nos meios de transmissão de
dados, em equipamentos e programas que compõem a internet, o que produziu a
necessidade dos usuários que utilizam esses recursos computacionais de se especializarem.
Para que os mesmos obtenham um nível de conhecimento adequado para prestarem suas
atividades, sem produzirem riscos a segurança dos sistemas que utilizam.
Diariamente novos riscos são gerados na internet, tais como: métodos de ataques,
vírus, ferramentas de invasão, entre outros. Paralelamente, os acessos a esses métodos que
comprometem a segurança podem ser feitos facilmente na internet. Os arquivos mais
comuns disponíveis são: ferramentas de ataques e seus respectivos tutoriais, demonstrações
de rastreamentos de redes e os métodos de invasão.
Em virtude dessa constante evolução tecnológica dos meios que compõem a
comunicação global, e do fácil acesso as informações que proporcionam riscos a segurança
dos sistemas computacionais, se faz presente a constante necessidade do profissional de TI
(Tecnologia da Informação) estar familiarizado e atualizado com as eventuais ameaças.
As gerências de redes devem estar um passo a frente contra qualquer tipo de
tentativa de invasão ou outros riscos, seja no acesso indevido, na confiabilidade, nas
transmissões dos pacotes, acesso físico as suas instalações, bem como procedimentos para
melhor antever qualquer problema, protegendo ao máximo os recursos de informações
disponibilizados aos usuários autorizados. Também é necessário estabelecer regras e
planos de contingências em casos de risco.
Este trabalho tem como objetivo, descrever sobre algumas ferramentas de
segurança e métodos de invasão. Além disso, será utilizado um modelo prático, que tem
como função criar serviços falsos em uma rede para confundir eventuais ladrões de
informações, ao passo que todas as ações desse indivíduo serão monitoradas. O mecanismo
utilizado para gerar os serviços falsos e monitorar as ações, será o Valhala Honeypot,
entretanto, para exibir as vulnerabilidades geradas na rede, faremos uso do programa GFI
Languard. E por fim, para demonstrar esses serviços ativos, seus processos, portas e
protocolos, utilizaremos o TCPView.
É importante frisar que esta é uma área de grande abrangência, deste modo, este
trabalho irá focar de maneira básica os tópicos sobre gerência de segurança e ferramentas
utilizadas nas invasões.
8
3 GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Diariamente são elaborados novos modelos de ataques, devido a isso os usuários

dos serviços da web tornam-se vulneráveis. Os principais ataques utilizados atualmente
são: acesso indevido a dados pessoais, sites bancários falsos, ou e-mails solicitando que o
usuário altere senhas ou dados cadastrais.
“As normas da gestão da segurança da informação visam à adoção de medidas de
alinhamento a partir de um monitoramento continuo dos processos, métodos e ações,
visando o rápido restabelecimento dos sistemas, evitando acessos indevidos e diminuindo
os riscos” (SÊMOLA et al, 2003) .
Segundo Beal (2005), “Segurança da Informação é o processo de proteção da
informação das ameaças a sua Integridade, Disponibilidade e Confidencialidade”.
A Confidencialidade visa garantir que somente pessoas autorizadas tenham acesso
a determinadas informações, já a Integridade tem como objetivo garantir que a informação
chegue ao seu destino sem nenhum tipo de modificação, a Disponibilidade tem a função de
fazer com que as informações solicitadas estejam disponíveis para acesso a qualquer
momento.
Tais normas surgiram a partir da necessidade de minimizar os riscos dentro dos
setores de Tecnologia da Informação, e consequentemente das empresas e instituições que
nelas se baseiam.
Contanto surgiram as políticas de segurança, que estabelecem regras e orientações
às empresas visando evitar falhas de segurança como: papéis contendo informações
sigilosas deixados sobre a mesa ou sobre impressoras, assim como melhores práticas de
utilização de dispositivos móveis, ou mídias de armazenamentos de dados.
O complexo cenário, onde inovar é essencial, faz com que as organizações
dependam cada vez mais de informações confiáveis e de qualidade. Com isso, estas
entidades ficaram mais dependentes da Tecnologia da Informação nas execuções dos seus
procedimentos.
A Segurança da Informação tornou-se uma função vital para o sucesso das
organizações. Fazendo-se necessário a implementação de Sistemas de Gestão de Segurança
da Informação (SGSI), para atenderem as necessidades e os interesses das mesmas.
9
3.1 SEGURANÇA DA INFORMAÇÃO
Conforme mencionando no tópico acima, a Confidencialidade, Integridade e

Disponibilidade, caracterizam a Segurança da Informação.
Os principais pontos usados pelas empresas e de responsabilidade da Tecnologia
da Informação são: redes, Data Centers, computadores, impressoras, leitores de cartões,
servidores, suporte e treinamentos.
A partir disso, pode-se perceber o quanto a atividade do setor de TI tornou-se o
diferencial para o crescimento de uma empresa. Por esse motivo, todo ambiente
tecnológico necessita de medidas de segurança para a proteção de suas informações.
Para que as empresas tenham a garantia de segurança de suas informações, são
necessários profissionais para atuarem nos setores de informática, que estejam preparados
e atualizados.
Pontos relevantes à política de segurança:
 Programas de antivírus profissionais e atualizados;

 Critérios para alterações de senhas;
 Controle de acesso em determinadas áreas da empresa;
 Controle de acesso a sistemas e programas;
 Documentação dos processos relativos à Gestão da Segurança;
 Planos de contingência à falha.
Cabe ressaltar, que apenas investir em tecnologia não é suficiente, se outros

pontos importantes como os mencionados acima forem negligenciados.
3.2 CAMADA DE SEGURANÇA FÍSICA
A camada de segurança física é o local onde são instalados os componentes

físicos de um ambiente de TI, por exemplo: os Hardwares.
Geralmente os responsáveis pelo planejamento e implantação do ambiente de TI
não possuem um nível de conhecimento técnico adequado, o que acarreta em um ambiente
com poucos recursos para total desenvolvimento e expansão deste setor.
10
Com isso, os requisitos físicos adequados para instalação do Data Center passam a
serem vistos apenas como um detalhe estético, ignorando requisitos mínimos como: pisos
elevados, assoalhos destacáveis entre outros. A não utilização dessas normas de elaboração
do ambiente de Tecnologia da Informação culmina com a falta de recursos para as
eventuais expansões da empresa.
A ISO/IEC 17799:2005 estabelece regras para a criação de ambientes de Data
Centers, como: passagem de cabos de rede, fiação elétrica, aterramento, documentação,
mapeamento de portas utilizadas no Rack, iluminação adequada, placas de sinalização de
tensão das tomadas elétricas e de saída do local.
Os materiais usados na implantação de um Data Center devem ser anti-chamas
para evitar a propagação de incêndios. Também se faz necessário o uso de detectores de
incêndio, extintores na quantidade adequada e bem posicionados dentro do recinto,
devendo-se não utilizar os de água e pó químico.
O ambiente deve oferecer meios para limpeza e organização, cortinas e carpete
devem ser evitados, afim de não se ter o acúmulo de poeira. O edifício ou sala não devem
ser identificados, com intuito de dificultar a sua localização por curiosos. Somente aqueles
que precisarem acessá-lo devem saber a sua localização.
Figura 1: Instalações internas Data Center
Fonte: Acecoti *
O fornecimento de energia elétrica para um Data Center deve ser limpa (sem
flutuações), evitando interrupções, recomenda-se que toda alimentação de eletricidade seja
oferecida por sistemas de nobreak (redes elétricas estabilizadas), e dependendo do tipo de
*
Disponível em: www.acecoti.com.br Acesso: Set 2013
11
serviço da instituição podem ser utilizados geradores de energia. Nobreak e geradores

atuam também como forma alternativa de fornecimento de energia. Este sistema deve ser
dimensionado para suportar 50% a mais da carga máxima a ser usada, devido a picos
durante a demanda e possíveis expansões.
A redundância de cabos de entrada de energia vindas da concessionária deve ser
uma opção, de forma que haja barramento alternativo de entrada de energia sendo que essa
redundância deverá ser estabilizada usando também os recursos de conexão com os
nobreaks e geradores. Deste modo, se obtém uma fonte alternativa em caso de falhas.
Figura 2: Esquema de Rede Elétrica Redundante N+1
Fonte: Acecoti†
†
12
Figura 3: Esquema de Rede Elétrica Duplamente Redundante 2(N+1)
Fonte: Acecoti‡
O cabeamento deve respeitar algumas normas de segurança, como a separação dos

cabos elétricos e de rede de dados, evitando assim problemas de impedância devido aos
campos eletromagnéticos, que a corrente elétrica gera.
Pontos importantes:
 Linhas de transmissão das instalações do Data Center devem ser protegidas,

preferencialmente serem subterrâneas, e sempre que possível recebam proteções
adequadas como passagem de eletro calhas e pisos elevados;
 O cabeamento de dados deve ser protegido evitando trajetos que passem por fora
das tubulações;
 Identificação dos cabos, tomadas e equipamentos, com intuito de evitar erros
humanos ao manuseá-los;
 Cabos blindados como proteção alternativa;
 Certificação do cabeamento de dados, garantido a qualidade entre suas conexões.
‡
13
 Varreduras e inspeções físicas para detectar a presença de dispositivos não

autorizados conectados aos cabos.
 Acesso controlado ao Data Center, e sistemas elétricos como caixas de disjuntores.
“Sempre que os serviços sejam taxados como críticos, deve-se analisar a

possibilidade de usar fibra ótica, apesar do custo elevado, este meio de transmissão é muito
menos suscetível a falhas apresentando uma velocidade bastante superior em relação aos
cabos de par metálico” (TANEMBAUM et al, 2003).
Outro ponto fundamental para um Data Center, mas não considerado, é o fato dos
equipamentos dependerem de instalações com sistemas de ar condicionado, cujo objetivo é
manter níveis de temperatura e umidade adequados ao funcionamento de servidores,
switches, computadores e nobreaks.
Para garantir eficiência de climatização é aconselhável que a qualidade do ar seja
controlada, evitando contaminação por agentes externos, nessa situação são utilizados
filtros finos de alta eficiência, além de fluxos de ar dirigidos (insuflamentos de ar) evitando
turbilhonamentos e proporcionando pureza do ambiente.
Figura 4 – Insuflamentos de ar
§
Fonte: Exaustfarma
§
Disponível em: www.exaustfarma.com.br/aplicacoes/insuflamento-de-ar Acesso: Set 2013
14
3.3 CAMADA DE SEGURANÇA LÓGICA
Na camada lógica é feito o uso de softwares, que são responsáveis pelo

funcionamento do hardware, tais como: firewalls.
“Devido ao avanço das redes e a possibilidade de conexões remotas de qualquer
computador a outro, os administradores de rede passaram a perceber a possibilidade de
acessos indevidos, a partir de intrusos se passando por usuários legítimos, obtendo acesso a
informações sigilosas” (CARUSO et al, 2006).
Para auxiliar a segurança nas redes de computadores, foram implementados os
firewalls, que por sua vez, operam em um determinado ponto da rede e servem para
filtragem de tráfego.
Normalmente o firewall se divide em dois componentes que são: O filtro de
pacotes, que é responsável por inspecionar cada pacote de entrada e saída e o gateway de
aplicação, que ao invés de apenas examinar o pacote bruto, é responsável por permitir ou
não se um determinado pacote chegue ao seu destino;
Entretanto as configurações de alguns firewalls são feitas de forma inadequada, o
que deixa os mesmos passíveis de ataques de negação de serviço. Esse problema ocorre
devido à falta de limite de conexões dos servidores, o atacante envia milhares de pedidos
de conexões ao servidor, que por sua vez responde a cada um deles. Devido ao tempo de
retenção do pedido e o acumulo dos mesmos, as solicitações reais dos clientes da rede são
recusadas, gerando indisponibilidade ao serviço. Esse problema pode ser resolvido
limitando a quantidade de conexões estabelecidas por usuário, deste modo, diminui-se a
possibilidade de negação de serviço para usuários legítimos da rede. Além do firewall e
suas regras de política de proteção o antivírus é fundamental para segurança de uma rede
de dados.
Vírus são programas desenvolvidos com intuito de gerar danos a um sistema ou
obter acesso à dados de outros usuários ou empresas. (CIDALE et al, 1990) cita pelo
menos quatro formas diferentes de detecção de vírus, feitas pelos antivírus.
Escaneamento de vírus conhecidos: Este é o principal método de localização de

códigos maliciosos. Este método funciona por meio de listas de vírus conhecidos, que são
disponibilizadas através de atualizações e a partir dai o antivírus realiza escaneamentos do
sistema em busca de infestações.
15
Analise Heurística: este processo consiste em uma análise por parte do

antivírus, em programas que estão sendo executados. Ele busca indícios de ações que
podem ser executadas por vírus, podendo ser indício de um código malicioso. Neste
processo a análise Heurística do antivírus deve bloquear a ação e alertar o usuário sobre o
evento. Porém como (CIDALE et al, 1990) específica, algumas funções que a análise
Heurística determina como suspeita, pode ser normal, em determinadas circunstâncias,
gerando o chamado falso positivo ou seja um alerta de vírus para um arquivo normal.
Busca algorítmica: Mais preciso se comparado com o escaneamento de vírus
conhecidos, ele utiliza um conceito mais complexo. Essa busca possui várias condições
para identificação de vírus, por exemplo: através da extensão do arquivo, o tamanho, a
string, etc.. Devido a esse conjunto de regras e a complexidade da análise, a busca se torna
bem mais lenta.
Checagem de Integridade: nesta checagem a técnica não visa conhecer o código
do vírus anterior para localizá-lo, cria-se um registro com os dígitos verificadores de todos
os programas instalados no computador. (TANEMBAUM et al, 2003) sugere que este
registro deve ser criado logo após a formatação completa do sistema. O código verificador
do antivírus será comparado com o código dos registros da primeira verificação, que esta
armazenada no banco de dados do antivírus, caso alguma alteração ocorra, significa que
houve alterações não permitidas no sistema. Este modelo não impede a infecção, porém,
permite detectar a presença de vírus.
Mesmo com vários mecanismos de detecção de vírus nenhum dos métodos
disponíveis são totalmente eficazes. Portanto, para evitar ataques de pragas virtuais é
necessário manter o antivírus atualizado, evitar páginas suspeitas, e instalar somente
softwares originais de fontes confiáveis.
3.4 SEGURANÇA HUMANA
A terceira camada de segurança em rede, é a que possui a maior probabilidade de

riscos, é também conhecida como o elo fraco, já que varias possibilidades de acesso
indevido podem ocorrer com este grupo. As falhas mais comuns ocorrem devido a
funcionários insatisfeitos, falta de cuidados ao dispor das informações, documentos
importantes deixados na mesa ou na impressora, telas abertas com documentos sigilosos,
16
acesso de pessoas indevidas, ou até mesmo acesso de colaboradores em setores fora do seu
escopo.
O Acesso de pessoal não autorizado é a principal fonte de problemas para os
profissionais de TI. O objetivo do controle de acesso é gerenciar o acesso à informação.
O controle de acesso, basicamente dispõe das seguintes prerrogativas para que o
usuário consiga fazer seu login: quem ira fazer o acesso e quais recursos e arquivos esse
usuário poderá ter acesso.
Com base nessas duas questões, pode ser gerado o inventário e definido os
ambientes em que os funcionários terão disponíveis, dentro dos seus respectivos campos de
trabalho.
É importante um documento formal que tenha a função de outorgar ou revogar os
acessos dos usuários em todos os sistemas de informação.
Existem quatro momentos distintos para o uso dessa documentação:
 Antes da contratação;
 Durante a execução das funções;
 Mudança de função;
 Encerramento das atividades profissionais.
Outro ponto fundamental é o monitoramento das atividades no ambiente de TI,

que visa realizar detecções de atividades não autorizadas, seja interna ou externa.
A principal ferramenta deste recurso é o arquivo de log, que tem em seus registros
dados como: identificação dos usuários, data e horário de utilização de recursos do sistema,
identificação do terminal utilizado, etc.. O arquivo de log também fornece informações
técnicas referentes a recursos de sistemas, que são úteis na resolução de problemas, como:
falhas de serviço, erro de acesso à internet, problemas em servidores, entre outros.
17
3.5 POLÍTICA DE SEGURANÇA
A política de segurança é um conjunto de documentos, que se destinam a

gerenciar e proteger os dados ativos da empresa ou instituição.
Os principais pontos da política de segurança são:
Processual: é o método para formalizar processos de segurança da informação e

responsabilizar os usuários com relação às ações realizadas dentro da empresa;
Tecnológico: o modelo Tecnológico define as boas práticas para utilização dos
recursos, tais como: servidores, estações, impressoras e os softwares;
Humano: este ponto é atribuído a questões ligadas aos próprios usuários, visto
que mesmo existindo processos formalizados, treinamentos, orientações sobre o
funcionamento e utilização dos sistemas, não significa que esses processos serão seguidos
pelos usuários.
3.6 ANÁLISE DE RISCOS
“Gerenciar os riscos é um dos principais processos da gestão da segurança da

informação, pois visa identificar, analisar, avaliar e controlar os riscos inerentes à
segurança da informação. Gerenciar os riscos pode ser um processo complexo e oneroso,
contribuindo para que as empresas não priorizem esse processo em projetos de segurança
da informação” (OLIVEIRA et al, 2009).
Na norma (ISO/IEC 27005:2008) o risco é definido como: “uma combinação das
consequências que resultam da ocorrência de um evento indesejado”.
Conforme a Figura 5, o processo de gestão de riscos é constituído por oito
atividades. Para cada atividade são propostas diretrizes para implementação, caso o risco
seja relevante será seguido o fluxograma para tratamento.
18
Figura 5: Processo de Gestão de Riscos
Fonte: NBR ISO/IEC 27005
3.7 PROCESO DE GESTÂO DE RISCOS
Definição do contexto: O primeiro item do Processo de Gestão de Riscos é a

definição do contexto, que tem como objetivo definir o escopo e os limites que serão
considerados. Neste processo são descritos os procedimentos que possibilitam a
identificação dos ativos relevantes para a Gestão dos Riscos, os critérios gerais de
aceitação dos riscos para a organização e as responsabilidades
A atividade de Análise/Avaliação de Riscos é subdividida em outras três
atividades que serão descritas a seguir:
 Identificação de riscos: Tem como objetivo identificar os eventos que possam ter
impacto negativo nos negócios da organização.
 Estimativa de riscos: A Estimativa de riscos tem a finalidade de atribuir valores ao
impacto que um risco pode ter e a probabilidade de sua ocorrência, de forma qualitativa
ou quantitativa.
 Avaliação de riscos: Determina a prioridade de cada risco através de uma comparação
entre o nível estimado do risco e o nível aceitável estabelecido pela organização.
19
Tratamento do risco: O escopo desse processo é programar controles para

reduzir, reter, evitar ou transferir os riscos. Se o Tratamento do Risco não for satisfatório,
ou seja, não resultar em um nível de risco residual que seja aceitável, deve-se reiniciar a
atividade ou o processo até que os riscos residuais sejam explicitamente aceitos pelos
gestores da organização.
Aceitação do risco: Registra formalmente a aprovação dos planos de tratamento
do risco e os riscos residuais resultantes, juntamente com a responsabilidade pela decisão.
Comunicação do risco: A Comunicação do risco é responsável por desenvolver
planos de comunicação dos riscos para assegurar que todos tenham conhecimento sobre os
riscos e controles a serem adotados.
Monitoramento e análise crítica de riscos: Este processo monitora
continuamente os riscos e seus fatores a fim de identificar eventuais mudanças no contexto.
Ele certifica que o Processo de Gestão de Riscos de Segurança da Informação e as
atividades relacionadas permaneçam apropriados nas circunstâncias presentes.
Conceitos fundamentais de gestão de riscos: As restrições relativas à redução
de riscos são atividades de gestão de riscos, conforme apresentadas abaixo:
 Entrada: identifica as informações necessárias para o desempenho da atividade;

 Ação: descreve a atividade;
 Diretrizes para implementação: fornece diretrizes para execução da ação.
 Saída: identifica as informações resultantes da execução da atividade
3.8 PLANO DE CONTINGÊNCIAS
A norma (NBR ISO/IEC 17799:2005) define planos de contingência que devem

ser desenvolvidos para assegurar a disponibilidade da informação no nível requerido e para
auxiliar no processo de manutenção e recuperação das operações, logo após a ocorrência
de interrupções ou falhas dos processos críticos.
Outros pontos que devemos citar no plano de contingência:
 A necessidade de montar equipes representantes dos setores críticos da empresa, os

quais não poderiam deixar de funcionar em caso de desastre;
 Uso da análise de impactos e levantamento dos processos críticos de negocio;
20
 Elaborar relação com nomes e contato de todo pessoal que é essencial à execução
do plano de contingência.
 Manter acessível toda a documentação e softwares necessários para restauração do
sistema caso necessários;
 Redundâncias ou outras saídas para emissão de relatórios;
 Backups alternativos;
 Manuais e processos de auditoria para controle e cuidados na atualização;
 Testes de contingência periódicos;
21
4 ESTRATÉGIAS DE SEGURANÇA
Por intermédio do esforço realizado para obtenção de melhores estratégias na

Segurança da Informação, pode ser constatado um aumento significativo no grau de
especialização dos procedimentos de gestão de TI.
Os ataques realizados atualmente sejam eles por vírus, invasão, ou os demais
métodos, são os principais responsáveis pelas perdas de informações, ocasionando
simultaneamente grandes perdas financeiras. Através das políticas de segurança que serão
descritas logo abaixo, o gestor de TI obtêm meios defensivos nesse ambiente inseguro que
se tornou o mundo da tecnologia da informação.
 Restrição de acesso e uso dos sistemas aos usuários;

 Segurança física dos ambientes da empresa;
 Segurança lógica como firewall e backups;
 Sistemas de detecção e escaneamento de vulnerabilidade.
4.1 FUNDAMENTOS DE SEGURANÇA
“A informação se tornou um ativo importante para a empresa, ela passou a ficar

exposta a uma variedade de ameaças e vulnerabilidades. Ela pode ocorrer de diversas
formas, impressas, eletrônicas, ou mesmo falada em conversas, seja qual for à forma ou o
meio do qual a informação é compartilhada ou armazenada é necessário que ela seja
guardada adequadamente” (NBR ISO/IEC 19799:25).
A Segurança da Informação define a forma como devemos proteger esta
informação das mais variadas ameaças, garantindo a ela três requisitos básicos como vimos
anteriormente:
Confidencialidade: a informação só esta disponível para usuários autorizados;

Integridade: a informação não foi corrompida ou alterada;
Disponibilidade: estar à disposição sempre que for necessário.
22
Para obtenção de boas práticas de segurança os seguintes procedimentos devem

ser adotados:
Definição de políticas de segurança: são regras definidas para atenderem os
requisitos mencionados acima como: confidencialidade, integridade e disponibilidade.
Elaboração de uma arquitetura de rede segura: é a utilização do princípio de
privilégio mínimo, fornecendo apenas as informações e os recursos necessários para o
propósito legítimo do usuário.
Níveis de segurança aceitáveis dos hosts: nesse procedimento é realizado o
agrupamento das partições dos discos rígidos nos servidores, a desativação de serviços
desnecessários, políticas de senhas seguras, atualização periódica dos servidores, política
de backup, filtragem de pacotes, administração remota, segurança física dos servidores e
atualização dos equipamentos.
Monitoramento contínuo do tráfego de rede: esta ferramenta é utilizada para
monitoramento de acessos indevidos ou ataques efetuados a partir de vulnerabilidades.
Honeypot: Honeypot ou também conhecido como serviço de pote de mel é
utilizado para simular falhas de serviços como: Servidores FTP, SNMP, TELNET entre
outros. Ele atua apenas como uma ferramenta complementar e é melhor aproveitado
quando usado em conjunto com outras ferramentas.
Existem outros modelos de serviços de potes de mel como: De pesquisa, o qual
realiza o armazenamento do máximo de informações possíveis dos invasores e simula uma
máquina mal configurada. Há também o serviço de produção que opera na diminuição dos
prejuízos causados por falhas de segurança, seu papel principal é detectar atividades e
alertar os administradores.
23
5 ESTRATÉGIAS DE INVASÃO
Atualmente houve um crescimento significativo na quantidade de informações

disponibilizadas na internet, onde podem ser encontrados facilmente softwares, vídeos e
tutoriais explicativos. Devido a esse crescimento, aumentou-se a quantidade de ataques e
roubos de informações.
Por intermédio desses ataques aumentaram também o número de pragas virtuais,
que vão desde vírus capazes de realizarem alterações em boletos bancários até programas
espiões que se instalam em computadores pessoais.
5.1 VÍRUS QUE ALTERA BOLETOS BANCÀRIOS
Através da comparação entre as Figuras 6 e 7 podemos perceber a forma como o

vírus altera um boleto bancário.
Na Figura 6 o código de barras está correto, com o número: 10491.12343
56990.000004 00000.000422 356740000042000, já no código do boleto na Figura 7 o
vírus realizou uma alteração no mesmo, ficando desta forma o código de barras:
03399.4938038000.000000 00422.701011 2 56740000042000 podemos perceber através
das partes sublinhadas que o código foi alterado.
Figura 6: Código do boleto
Figura 7: Alteração do código do boleto
**
Fonte Figuras 6 e 7: tecmundo.com
5.2 VÍRUS STUXNET
Próximo ao dia 15 de novembro de 2007 foi descoberto o vírus Stuxnet que sob o
nome RootkitTmhider foi criado especificamente para acessar o sistema de gestão de
processos de controle e aquisições de dados Simatic S7 fabricado pela Siemens, usado por
**
Disponível em: www.tecmundo.com.br/virus/38564-virus-e-capaz-de-alterar-boletos-gerados-na-web-e-
desviar-os-pagamentos.htm Acesso: Agosto 2013
24
empresas de motores industriais. Esse Worm acessava a rede, rastreando e invadindo o

computador de controle antes de chegar ao alvo. O resultado das alterações desse vírus
provocavam erros de leitura e falhas de funcionamento, que mascaravam os indicativos de
velocidade de RPM das super centrifugas e por vezes ocasionavam acidentes fatais.
Abaixo uma ilustração do SIMATICS7 da Siemens:
Figura 8: Simatic S7
††
Fonte: wikimedia.org
5.3 INVASÔES
No dia 25 de julho de 2013 na véspera de uma conferência de hackers, que

acontece em Las Vegas, EUA, o hacker Barnaby Jack foi encontrado morto em seu
apartamento, na cidade de São Francisco. Ele descobriu falhas em dispositivos médicos,
como desfibriladores e marca-passos, que eram fabricados por uma grande empresa do
ramo de dispositivos médicos hospitalares. Barnaby pretendia demonstrar como explorar
essas falhas, provocando o mau funcionamento dos dispositivos ou até o desligamento dos
mesmos.
Houve um grande salto na tecnologia, o que permitiu o monitoramento à distância
desses dispositivos vitais a vida humana. Por um determinado aspecto essa evolução foi
benéfica, visto que ela proporcionou um maior controle das doenças e problemas
††
Disponível em: http://commons.wikimedia.org/wiki/File:S7300.JPG Acesso: Agosto 2013
25
enfrentados pelos seres humanos. Porém, como toda criação, esses sistemas também
possuem os seus pontos negativos e um dos principais problemas é o fato de não serem
imunes às ações dos hackers, com isso o que foi desenvolvido para produzir um bem
poderia se tornar uma catástrofe se um hacker invadisse tais sistemas.
Já em abril deste ano o analista e consultor de segurança Huso Teso demonstrou
na conferência de segurança em Amsterdã, como atacar e assumir o controle total de um
avião, sem acessar fisicamente o mesmo, apenas utilizando um sistema operacional
Android
Em outra situação, um estudo financiado pelo centro de pesquisa do
Departamento de Defesa dos Estados unidos conectou um laptop a uma unidade de
controle eletrônico, através do sistema de autodiagnostico de dois veículos e conseguiu
alterar os comandos do motorista para uma manete de videogame.
Figura 9: Controle do carro transferido para uma manete de videogame
‡‡
Fonte: defesanet.com
‡‡
Disponível em: www.defesanet.com.br/cyberwar/noticia/11614/Com-laptop--especialistas-
%E2%80%98hackeiam%E2%80%99-e-assumem-controle-de-carros/ Acesso: Agosto 2013
26
6 HACKERS
O intuito deste capítulo é descrever sobre os diversos tipos de hackers que

existem. Antes de falarmos dos indivíduos que infectam, invadem, roubam informações e
geram muitos outros problemas, vamos descrever as principais razões para tais feitos.
Os Hackers realizam seus atos motivados por algo, e geralmente a motivação mais
promissora por assim dizer é a motivação financeira, onde o atacante realiza o roubo de
informações como senhas bancárias, números de cartões de credito entre outros, em virtude
de conseguir um beneficio financeiro.
Existem outras motivações para a realização dos ataques, como: a razão
ideológica, onde o Hacker invade sites para evitar que sejam publicadas opiniões contrárias
as suas. O Hacker também é motivado pelo desejo de se conquistar prestígio, ou seja, ele
realiza as ações para engrandecer-se perante à outros atacantes. E por fim, a última
motivação para ataques é por poder, onde o indivíduo invade ou suspende os serviços de
um servidor ou site, com intuito de vender um determinado serviço ou ate chantagear a
empresa para que os ataques não ocorram novamente.
Os primeiros indícios de invasões aconteceram no ano de 1878, a vítima foi a Bell
Telephone Company, estes invasores eram ex-funcionários da empresa. Eles telefonavam,
transferiam contas, e modificavam os sistemas e não deixavam rastros.
Certamente os Hackers atuam há muito tempo, no inicio de 2000, eles passaram a
ser percebidos quando em uma ação coordenada, realizaram um ataque de negação de
serviços, o qual prejudicou os serviços dos sites do Yahoo, Amazon, eBay, ZDNet e CNN.
6.1 PERFIL DOS HACKERS
Nos anos 40 e 50 o termo Hacker era usado para designar radioamadores, e

entusiastas de mecânica ou eletrônica. Na década de 60 o termo popularizou-se como
sinônimo de programadores.
Eles são excelentes desenvolvedores, conhecem pelo menos um sistema
operacional a fundo, mas diferentemente do que se pensa, jamais usam seu conhecimento
para o mal, apesar do termo atualmente citar os Hackers como criminosos digitais.
“Para os Hackers tradicionais todos que praticam atividades ilegais mesmo que
por motivos nobres, são chamados de cracker” (ULBRICH E VALLE).
27
Abaixo estão descritos alguns tipos de Hackers:
NB Newbie ou Noob: é o iniciante ou calouro, ele detém pouco conhecimento em

informática;
Lammer ou Script Kiddie: é um criminoso comum que aprende a usar algum
programa e não possui um bom conhecimento do funcionamento dos sistemas. Eles
empregam programas disponíveis na internet como: scan, exploit e trojan.
Wammabe (ou Wannabee): é aquele que já leu demais e esta prestes a entrar no
estágio de larva.
Larval Stage: chamado também de Spawn, momento em que o iniciante deve se
aprofundar nos estudos de programação;
White Hat (Chapéu Branco ou Hacker ético): é o profissional responsável pela
segurança dos sistemas, realiza testes de invasão na sua própria rede ou efetua testes de
vulnerabilidade a fim de encontrar falhas;
Grey Hat (Chapéu Cinza): este usuário invade sistemas, por hobby, porém evita
causar danos sérios, não copia dados confidenciais;
Cracker ou Black Hat (Chapéu Negro): conhecidos como Hackers do mal, ou
sem ética, são especializados em quebrar travas de softwares para pirateá-los, usam seu
conhecimento para invasão de sites e computadores, com objetivo de prestígio ou
benefícios financeiros.
War driver: é uma variação de Cracker e são especializados em aproveitar
vulnerabilidades em redes wireless para invadi-las, deles surgiram o warchalking, que são
desenhos com giz no chão símbolos que orientam a melhor posição de conexão para outros
War drivers.
Phreaker: são os Crackers dos sistemas telefônicos, eles possuem conhecimentos
avançados em eletrônica e telefonia. Podem efetuar qualquer tipo de chamadas telefônicas
e transferir faturas.
Carder: esses Hackers são especialistas em fraudes com cartões de crédito, eles
conseguem facilmente listas com números de cartões válidos etc..
28
Através da Figura 10 podemos visualizar os incidentes reportados devido a

invasões desde 1999.
Figura 10: Incidentes reportados ao CERT.br
§§
Fonte: CERT.br
§§
Disponível em: www.cert.br/stats/incidentes Acesso: Agosto 2013
29
7 MALWARES - PRAGAS VIRTUAIS
Malware é definido pelo acrônimo das palavras em inglês Malicious e

software, e significa aplicação maliciosa. Nesse grupo podemos citar os vírus as novas
ameaças e as suas evoluções, abaixo estão descritas as variantes desse tipo de aplicativo:
vírus: o vírus clássico é um tipo de programa que gera danos ao computador, ele
necessita de um sistema para se hospedar. O vírus pode ser um programa executável,
ativado por um evento ou por tempo, os danos variam desde simples mensagens
incomodas, a eliminações de arquivos, podendo inclusive bloquear acessos a sistemas
operacionais;
vírus de hardware: antigamente os recursos da bios eram armazenados em
memórias ROM’s, os quais não podiam ser atualizados a partir de software, era necessário
que fossem manualmente substituídos, apagados ou regravados, um processo que se
apresentava ineficaz. Os novos sistemas chips EEPROM conhecidos como ROM flash,
podem ser gravados e alterados a partir de softwares. Atualmente essas ROM’s possuem
um espaço de armazenamento, ao qual os vírus de hardware usa para hospedar suas
informações;
Worm: é também conhecido como verme e não necessita de um hospedeiro, ele é
auto replicante, ou seja, ela se auto reproduz. A sua propagação é feita aproveitando os
meios de comunicação como: mídias, e-mail, e redes locais, as principais ações do Worm é
apagar arquivos ou enviar e-mails automaticamente.
Bots: são programas desenvolvidos para criação de redes zumbis (Botnet), este
Malware teve suas primeiras implementações de forma massiva a partir de 2004. Ás redes
Botnets são operadas remotamente por um Hacker ;
Trojan (Cavalo de Tróia): Este código malicioso se mostra inofensivo, eles
entram no sistema por meio de jogos ou programas que o usuário adquire. Os Trojans são
usados para obterem informações dos usuários ou executar instruções, eles não se replicam
e possuem as maiores taxas de propagação e infecção.
Spyware: é um Software espião que se instala com a finalidade de coletar
informações sobre as atividades do usuário, como: tipos de acessos na internet, tempo de
permanência, aplicativos executados na máquina atacada, compras realizadas, e arquivos
baixados;
30
Rogue: este aplicativo simula ser um programa e se passa por um anti-Malware,

ele infecta os sistemas do usuário, exibe avisos sobre a presença de infecções inexistentes e
também coleta informações indevidas. Um exemplo de Rogue é o programa Windows
Care Taker que é amplamente oferecido por sites de download conhecidos. A principal
ação desse Malware é bloquear o acesso ao painel de controle do sistema. Abaixo, na
Figura 11 esta exemplificado um modelo de Rogue, e em vermelho nas linhas do quadro
estão os falsos resultados da busca no sistema, onde ele exibe infecções inexistentes.
Figura 11: Modelo de Rogue
***
Fonte: Activationcodes.blogspot
Backdoors: são Malwares variantes do Cavalo de Tróia e usados para realizar

invasões através de portas como à: 666, 888, 3333 entre outras. Os Backdoors garantem
uma forma do atacante retornar ao computador invadido. Também são conhecidos em
inglês como RAT que significa ferramenta de administração remota, um exemplo desse
Malware é o ProRat, no qual os Hackers podem executar: roubar senhas, ter controle total
sobre arquivos, controlar impressora, abrir e fechar drive de CD, visualizar informações do
sistema, visualizar webcam, obter áudio do microfone, realizar downloads, executar
arquivos, corromper o Windows de forma irrecuperável e muitas outras coisas.
As recentes denúncias realizadas pelo analista Edward Snowden, sobre o ato de
espionagem mundial realizado pelo EUA, forçaram o Brasil a criar um centro de
certificações de equipamentos de redes, através do Departamento de Ciências e Tecnologia
***
Disponível em: http://activationcodes.blogspot.com.br/2013/04/removal-of-system-care-antivirus-
3732.html Acesso: Agosto 2013
31
do Exercito Brasileiro, com objetivo de retirar os Backdoors que são instalados de fábrica
em roteadores e switches importados. Os Backdoors permitiam a NSA obter acesso à
informações sigilosas.
Keylogger: é um spyware usado para registrar tudo que é digitado pelo usuário,
ele possui como principal finalidade: capturar números de cartões de créditos e senhas.
Eles são instalados sem o conhecimento da vítima e também podem ser usados por
empresas para monitorar os funcionários. Outra forma de utilização é como uma
ferramenta contra riscos, por exemplo: uma pessoa que tem o hábito de digitar textos
grandes, como livros, teses, dissertações e se por a caso houver uma queda de energia
elétrica, este tem como recuperar todo o texto digitado.
Adware: é um programa de propaganda amplamente usado em sites, porém sem a
autorização prévia do usuário, podendo acarretar em lentidão de acessos. Geralmente estes
Adwares assumem o formato de pop-ups.
Hoax: toda disserminação de falsas mensagens recebe o nome de Hoax, como:
mensagens de apelos dramáticos, difamação de pessoas, supostas campanhas sociais,
pedidos de ajuda, avisos falsos de vírus ou mesmo avisos de prémios ganhos.
Phishing: é uma ameaça que tem por função pescar informações e dados
pessoais, através de e-mails ou sites falsos.
Spam: São e-mails indesejados e em sua grande maioria contém propagandas. No
entanto em outras ocorrências essas mensagens podem conter algo mais agressivo como
vírus ou meios de obterem informações pessoais.
32
8 TIPOS DE ATAQUES
Esse capítulo tem por função descrever sobre as técnicas mais utilizadas para a
realização de invasões. Esses métodos de invasão são considerados como práticas
criminosas e punidos severamente. As técnicas são:
Engenharia Social ou Estelionato Digital: o objetivo dessa técnica é enganar as

vítimas para conseguir informações importantes das mesmas. Esse ataque possui duas
maneiras de ser executado.
O primeiro é o modo direto, que se caracteriza pelo contato pessoal, no qual é
feito o uso de fax e telefones, em busca de capturar informações. Nesse modelo de ataque o
Hacker deve ser um bom ator, o que gera a necessidade desse indivíduo de se especializar,
com aulas de teatro, treinamentos que ensinem a ter firmeza na hora da conversação.
Nesse modelo de ataque a coleta de informações pode ocorrer através de uma
conversa, por intermédio de ligações simulando serviços de suporte, e-mails onde o
atacante se passa por alguém que proporciona algum benefício à vítima, SMS e ainda
existem muitas outras formas.
Um exemplo de ataque de Engenharia Social é o abandono intencional de uma
mídia de CD-ROM ou DVD com a descrição: Relatório de pagamento do mês corrente. Se
encontrada por um funcionário, este em busca de saciar a curiosidade irá inserir a mídia em
uma máquina permitindo a instalação de um Malware.
“Os usuários individuais, utilizados, para extração dos dados são apenas um vetor
para a coleta de informações de uma entidade maior a qual deseja se planificar o ataque”
(HOGLUND E McGRAW et al, 2006).
Já o segundo modelo de ataque de Engenharia Social é caracterizado como
indireto e é executado através do uso de ferramentas de invasões como: Cavalos de Tróia e
sites maliciosos. A eficiência destes ataques depende das habilidades pessoais do Hacker.
Scanners: normalmente esses programas podem ser usados tanto por
administradores de rede como por Hackers. A finalidade desses softwares é percorrer os
principais serviços em uso, exibindo o resultado dos processos e portas em aberto, que
possam ser explorados para a prática de invasões. Periodicamente são lançados scanners
que detectam as vulnerabilidades mais recentes. É de responsabilidade do administrador de
rede, corrigir as vulnerabilidades exibidas na busca dessa ferramenta, antes que o Hackers
33
às explorem. Existem vários modelos de Scanners, onde cada um deles executam um scan
específico, alguns modelos desses Scanners são: TCP Connect Scan, UDP Scan, TCP Null
Scan, TCP Fin Scan e muitos outros;
Exploiters: é um modelo desenvolvido para atacar um sistema localmente, ou
remotamente. Ele vária quanto à forma e o poder do ataque, e pode ser constituído por
porções de códigos ou uma sequência de comandos. Os Exploiters são preparados para
explorar falhas muito específicas e falhas em aplicativos;
Buffer overflows: esse é o principal método utilizado para explorar software, ele
injeta códigos maliciosos em um buffer, até ultrapassar os limites do buffer e sobrescreve a
memória adjacente. Neste caso podem ser disparados erros de programas, problemas de
acesso à memória e parar totalmente o sistema. Linguagens com capacidade desatualizada
de gerenciamento de memória como a linguagem C e C++ tornam o buffer overflows mais
comuns do que deveriam ser. Devido ao enorme volume de bits que podem ser
referenciados e movidos livremente pelo programador. Diferentes de linguagens como o
Java, e o C# que são na perspectiva de segurança melhores para desenvolvimento;
Buffer underrun: este ocorre quando o buffer é lido ou esvaziado mais rápido do
que é reescrito, isso pode levar a um esvaziamento completo do buffer causando
interrupção do fluxo de dados;
Stack overflow: e a forma mais comum do buffer overflow, conhecida como
overflow de pilha, ocorre quando um programa tenta usar mais espaço do que está
disponível na pilha de camadas. Em geral há vários dados de segurança crítica sobre uma
pilha de execução, o atacante pode substituir este valor com algum endereço de memória
para que ele também tenha permissão de escrita e inserir um código arbitrário sendo
executado com os privilégios do programa vulnerável;
Heap overflow: esse é um tipo de buffer overflow que ocorre na pilha de área de
dados, essa técnica substitui ligações de alocação dinâmica de memória e utiliza a troca de
ponteiros, sobrescrevendo um ponteiro de função do programa;
Exploração de Bugs: este é um tipo de ataque em que o Hacker explora uma
falha ou também conhecida como um Bug, para realizar o ataque por meio desse erro.
Atualmente um dos grandes problemas enfrentados é a exploração de falhas pelos Hackers.
Devido a isso, muitos programas são atualizados todas as vezes que uma nova falha é
descoberta. Porém, nem sempre as falhas são descobertas, o que ocasiona novas
vulnerabilidades;
34
ARP poisoning: é conhecido como o ataque de envenenamento, ele ocorre por

meio da utilização do protocolo de resolução de endereços o ARP (Address Resolution
Protocol). Esta técnica é bem conhecida, ela explora a camada de enlace de dados e só
pode ser disparada quando o atacante está conectado na mesma rede que à vítima. Sendo
assim, esse ataque se limita a redes que estejam conectadas por hubs, switches ou bridges,
não sendo possível atacar redes que tenham roteadores e gateways. Neste ataque utilizam-
se pacotes ARP, onde o atacante um host C encaminha um pacote de ARP reply para um
host B, dizendo que o IP do host A aponta para o endereço MAC de C. De forma
semelhante, o atacante envia também para o host A, um ARP replay dizendo que o IP de B
aponta para o endereço MAC do host C. Como o protocolo ARP não guarda os estados, os
hosts A E B, assumem que anteriormente a esse pacote ARP replay eles enviaram um
pacote ARP request pedindo estas informações e assumem os pacotes como verdadeiros. A
partir deste ponto, todos os pacotes trocados entre A e B, passam necessariamente pelo
host C, o host C por sua vez fica encarregado de reenviar os pacotes para os devidos
destinos após capturá-los. Através desse método de ataque, o Hacker consegue interceptar
todas as informações trocadas entre os hosts A e B;
Denial of Service: é um ataque conhecido como Ataque de Negação de Serviço, e
como o próprio nome do ataque já relata é uma forma de ataque que serve para deixar
indisponível os serviços de uma determinada empresa ou site. O ataque consiste em fazer
com que várias máquinas (Zumbis) pertencentes a uma Botnet acessem ao mesmo tempo
um determinado recurso de um servidor, fazendo com que os recursos do servidor sejam
consumidos pelos acessos simultâneos das máquinas zumbis e gerando indisponibilidade
do serviço;
SYN Flooding: o ataque SYN Flooding é uma forma de Ataque de Negação de
Serviço, no qual o hacker envia várias requisições SYN para a vítima, sobrecarregando
diretamente a camada de transporte e indiretamente a camada de aplicação. Para
estabelecer uma conexão entre o cliente e o servidor, o cliente envia ao servidor uma
mensagem SYN, o servidor responde com um SYN-ACK, então o cliente reenvia ao
servidor uma mensagem ACK.
O atacante utiliza deste método de conexão que é denominado Three-way
Handshake para realizar o ataque SYN Flooding. Neste ataque, o servidor não recebe a
mensagem de ACK que resultaria no estabelecimento da conexão. Essa ação causa um
35
congestionamento na rede, já que o servidor aguarda o recebimento do ACK e

consequentemente utiliza seus recursos de memória e processamento;
Ping of death: o também conhecido como Ping da Morte já foi muito utilizado
em ataques de negação de serviço. Esse tipo de ataque é realizado por meio de solicitações
ping com um tamanho de pacote muito elevado, e da mesma forma, em uma frequência
alta, podendo até ser milhares de vezes por segundo, nas primeiras implementações do
TCP/IP, este bug foi fácil de se explorar, mas atualmente os servidores e computadores já
contam com proteção contra o Ping da Morte;
IP Spoofing: este ataque consiste em mascarar (spoof) os pacotes IP, utilizando
endereços de remetentes falsos, devido às características de reencaminhamento de pacotes
do protocolo IP, que não valida o recebimentos destes pacotes, sua premissa é de que o
pacote deverá ir para o destinatário (endereço de destino) e não existe verificação do
remetente, tornando-se fácil falsificar o endereço de origem, através de manipulação
simples no cabeçalho IP. Assim vários computadores podem enviar pacotes se passando
por um determinado endereço de origem, representando uma séria ameaça para os sistemas
baseados em autenticação pelo endereço IP.
Smurf Attacks: este ataque também é uma variante do Ataque de Negação de
Serviço. Esta variação é feita da seguinte forma: O Hacker envia uma sequência de pings
para um endereço de Broadcast, utilizando a técnica de mascaramento do Spoofing o
atacante faz com que o servidor de Broadcast encaminhe as respostas para o endereço da
vítima. Deste modo, a máquina da vítima é inundada pelo ping;
IP sequence prediction: neste tipo de ataque, um Hacker pode usar o método de
SYN Flood para estabelecer uma conexão com a máquina da vítima e obter o número de
sequência dos pacotes IPs, deste modo ele poderá monopolizar a máquina da vítima.
Land Attack: neste ataque um pacote TCP SYN é enviado para a vítima, onde o
endereço de destino e de origem são os mesmos, bem como a porta de comunicação. A
máquina da vítima recebe o pacote e responde ao endereço IP de origem e à porta de
origem, como o endereço e a porta são os mesmos da máquina que sofre o ataque, o
sistema sofre um crash, já que ele não sabe o que fazer com o pacote;
RPC Locator: este ataque faz com que a CPU da vítima trabalhe utilizando 100%
dos seus recursos, com isso ela transfere o envio de dados para a porta 135. Com o RPC
(Remote Procedure Call) o invasor consegue executar chamadas ao sistema que são
conhecidas na máquina remota, o serviço explorado é o RCPSS.EXE que escuta a porta
36
135. Este tipo de ataque afeta os serviços ISS e DNS, deixando a máquina muito lenta
devido ao alto processamento.
Jolt2: o Jolt2 também é um ataque de Negação de Serviço. Ele faz o envio de um
grande número de pacotes fragmentados a múltiplos sistemas operativos, aumentando o
processamento das máquinas em até 100%, com isso, as máquinas consomem todos os
seus recursos, ocasionando uma negação de serviço.
Microsoft Incomplete TCP/IP packet: este ataque explora uma vulnerabilidade.
Ele envia pacotes malformados à porta 139 da vítima, fazendo com que os serviços e
sistemas dela sejam comprometidos.
HP OpenView Node Manager SNMP: esse ataque é realizado explorando uma
vulnerabilidade de uma ferramenta desenvolvida pela HP. Esta ferramenta tem o seu
funcionamento comprometido devido a um problema que ocorre no buffer, caso um
determinado pedido de GET com tamanho de 136 Bytes for enviado para os serviços web
na porta 80 por meio da interface overview5 CGI. Neste caso o serviço SNMP irá
apresentar erros, permitindo a execução arbitrária de códigos por um invasor;
Hijacking Attacks: o Hijacking Attacks consiste na exploração do mecanismo de
controle de sessão web: o gerenciador de token de sessão. Como a comunicação HTTP usa
muitas conexões TCP, o servidor web precisa de um método para reconhecer as conexões
de cada usuário, um símbolo de sessão ID é usado para esse reconhecimento. O Hijacking
Attacks compromete o Token roubando os dados do identificador de sessão, permitindo o
acesso não autorizado ao servidor web.
SQL Injection: é um tipo de ameaça que aproveita falhas em sistemas que
interagem com bases de dados via SQL. Esta técnica cria ou altera comandos SQL
existentes, para expor dados, sobrescreve-los ou executar comandos.
37
9 IMPLEMENTANDO TÉCNICAS DE SEGURANÇA
A partir deste capítulo iniciamos a parte prática deste trabalho, que tem por
finalidade criar um ambiente virtual com falsos serviços ativos em uma máquina. Estes
serviços funcionam como atrativos para possíveis invasores, os quais servirão para
confundi-los e monitorá-los.
Para os devidos fins desta proposta se faz necessário o uso de três ferramentas:
Valhala Honeypot, que ira gerar os falsos serviços vulneráveis; O GFI Languard, que fará
um Scan da rede e apresentará as vulnerabilidades de uma determinada máquina; E por fim
o TCPView que servirá para demonstrar os serviços do Honeypot em execução.
38
10 GFI LANGUARD
O GFI Languard Foi desenvolvido no ano 2000 pela companhia GFI Software, a
finalidade dessa ferramenta é proporcionar ao administrador de uma determinada rede a
possibilidade de identificar vulnerabilidades em seu ambiente de dados. Esse software
opera realizando um scan (varredura) na rede, onde deverá ser definida uma faixa de IP
para efetuar a busca na rede. Ele faz a listagem dos serviços, hosts, portas e protocolos
ativos na rede. Através do GFI é possível verificar se há vírus como Trojans ativos na rede.
Assim como todos os softwares, o GFI Languard também está sujeito ao uso
indevido, por indivíduos que pretendem tomar posse de dados restritos de empresas e
companhias, se beneficiando das informações obtidas. Portanto se faz presente a
necessidade de monitorar a rede, para corrigir possíveis meios de invasão. Por intermédio
do programa Valhala Honeypot foram simulados serviços para realizar a amostragem da
funcionalidade da ferramenta GFI Languard.
10.1 DOWNLOAD DO GFI LANGUARD
O download da ferramenta GFI Languard esta disponível através do site

http://www.gfi.com/downloads
39
10.2 CONFIGURAÇÃO DO GFI LANGUARD
A figura abaixo apresenta a tela inicial do GFI Languard. Para realizar o

escaneamento da rede é necessário inserir a faixa de IP da rede que se deseja fazer a
varredura, conforme esta marcado em azul no campo Target da Figura 12. Após a
configuração do IP, será necessário definir as portas que serão lidas na varredura do
Languard, o que é explicado na Figura 13.
Figura 12 – Tela inicial GFI Languard
Fonte: Print Screen da aplicação no sistema operacional Windows 7

40
Para configurar as portas e os serviços que o Languard deverá procurar, deve-se

acessar o botão “Scan” conforme a figura abaixo, clicar em configure ports, em seguida
será aberta uma tela conforme a Figura 13.
Figura 13 – Configuração do GFI Languard

41
Conforme abaixo, nesta tela é possível selecionar os serviços que serão procurados
na rede e suas respectivas portas. Esse passo da configuração permite selecionar as portas
de serviços que utilizam o protocolo TCP.
Para o protocolo TCP foram selecionadas apenas as portas mais comuns, como:
FTP, SMTP, HTTP e POP3, pois a seleção de mais portas demandaria mais tempo até que
o Languard realizasse o scan de toda a rede.
Figura 14 – Configuração das portas TCP do GFI Languard

42
Na ilustração abaixo é possível ativar o monitoramento de vulnerabilidades para as

portas e serviços que utilizam o protocolo UDP. Conforme explicado na figura acima,
foram selecionadas poucas portas para realizar a busca na rede, pois a seleção de mais
portas demandaria mais tempo até o término do scan. Para o protocolo UDP foi utilizada
apenas a porta TFTP.
Figura 15 – Configuração das portas UDP do GFI Languard
Mais abaixo serão demonstrados os testes realizados com o GFI Languard. Agora
iremos abordar outra ferramenta que é fundamental para o correto desenvolvimento deste
trabalho.
43
11 VALHALA HONEYPOT
O nome desse software deriva da alusão ao fato de se inserir potes de mel em um

ambiente, para que abelhas se sintam atraídas pelo mel e não retirem o néctar das flores.
Seguindo esta linha de pensamento, o Valhala Honeypot permite a criação de
serviços virtuais que servirão como atrativos para Hackers acessarem e acreditarem que
estão invadindo uma rede, ao contrário disso estão acessando serviços inexistentes e sendo
monitorados.
Por intermédio desta ferramenta o administrador de uma rede pode simular serviços
como: FTP, TELNET, POP3, SMTP e ainda verificar se houve tentativas de acesso a esses
serviços.
11.1 DOWNLOAD DO VALHALA HONEYPOT
O download dessa ferramenta esta disponível através do site

http://sourceforge.net/projects/valhalahoneypot/
11.2 CONFIGURAÇÃO
Após baixar e abrir o Honeypot é necessário configurar os serviços que o usuário da

ferramenta necessita emular na rede. A figura abaixo monstra a tela de configuração. Para
chegar à parte em que a figura descreve é necessário clicar em configurar, logo após abrira
uma caixa mostrando os serviços disponíveis para a realização da configuração.
Figura 16 – Configuração dos serviços do Honeypot

44
O próximo passo é clicar no botão opções que se encontra logo abaixo dos serviços,
após clicar irá aparecer uma nova caixa como exemplificado na figura abaixo, e o usuário
da ferramenta poderá realizar a configuração que deseja para executar o serviço virtual na
rede.
Para este trabalho foram utilizadas as configurações padrões do programa, como
descritas na Figura 17, referente à configuração do serviço POP3. Para esse experimento
não foi necessário realizar uma configuração que correspondesse totalmente com um
ambiente real. Porém para emprego do Valhala Honeypot em uma situação real é
necessário uma configuração específica, para se garantir a autenticidade dos serviços
gerados pelo programa, pois se não for feito tal configuração um Hacker com maior
experiência perceberá que se trata de um serviço de pote de mel.
Figura 17 – Tela de configuração Valhala Honeypot

45
Na Figura 18, em cor verde, estão descritos os serviços que serão reproduzidos pelo
Honeypot.
Figura 18 – Serviços ativados para teste

46
12 TCPVIEW
Essa é a terceira e última ferramenta que será empregada nesse trabalho. Este
software é muito simples de ser utilizado, o mesmo serve para listar os processos, portas e
serviços ativos na máquina. Nesta implementação ele servirá como complemento para
demonstrar os serviços de pote de mel que o Valhala Honeypot reproduz em uma máquina.
12.1 DOWNLOAD DO TCPVIEW
O download dessa ferramenta esta disponível através do endereço eletrônico

http://technet.microsoft.com/en-us/sysinternals//bb897437.aspx
Na tela abaixo está uma ilustração do TCPView e o modo como o qual apresenta os
serviços ativos em uma máquina.
Figura 19 – Ferramenta TCPView ativa

47
13 IMPLEMENTAÇÃO
Para os escaneamentos da rede com o GFI Languard foram usadas as configurações

mostradas nas Figuras 14 e 15, nas quais foram selecionados apenas os serviços de FTP,
SMTP, HTTP, POP3 e TFTP.
Abaixo foi realizada a primeira busca na rede, no IP 192.168.1.103 que é o
endereço da máquina que irá rodar os serviços do Honeypot.
Esta figura é apresentada apenas para mostrar quais serviços estão ativos na
máquina antes de iniciarmos os testes, e nesta ocasião apenas dois serviços do próprio
equipamento estão em funcionamento nas suas respectivas portas.
Por meio desta figura podemos perceber que os serviços do Honeypot configurados
na Figura 18, não estão ativos neste teste.
Figura 20 – Serviços ativos da maquina 192.168.1.103 sem o Honeypot

48
13.1 ESCANEAMENTO DA REDE
Nesta etapa os serviços do Software Valhala Honeypot configurados na Figura 18

foram ativados.
A figura abaixo demonstra o escaneamento realizado através do GFI Languard.
Figura 21 – Scanner da rede com os serviços do Honeypot ativos
Na busca efetuada e exibida através da Figura 20 não foram encontrados resultados

de vulnerabilidades na máquina de IP 192.168.1.103. Após a ativação dos serviços do
Valhala Honeypot, foi realizada a varredura da rede, que obteve o resultado da Figura 21.
O resultado obtido nesta etapa condiz com os serviços configurados na Figura 18 e nesta
ocasião estão em execução os cinco serviços de pote de mel, Web, POP3, FTP, SMTP e
49
TFTP. O Honeypot emula automaticamente três vulnerabilidades de acesso remoto, que

são: Netbus, Wincrash2 e o Netbus pro, que são também conhecidos como Backdoors ou
Trojans.
13.2 RELÁTORIO DO VALHALA HONEYPOT
As figuras abaixo exibem o resultado do monitoramento que o Honeypot realiza na

rede quando o GFI Languard realiza a busca na rede. Como o GFI Languard faz testes nas
portas dos serviços configurados nas Figuras 14 e 15 para verificar se o serviço esta em
execução o Honeypot detecta esses testes e gera os seguintes relatórios:
Figura 22 – Relatório de monitoramento do Honeypot
Figura 23 – Cont. Relatório de monitoramento do Honeypot

50
13.3 RESULTADOS DO TCPVIEW
Através da ferramenta TCPView é possível verificar os serviços e as portas abertas

na máquina que esta executando os serviços do Valhala Honeypot. Conforme visto na
Figura 21, estão ativos na máquina os seguintes serviços virtuais: FTP, SMTP, POP3,
TFTP, HTTP, Netbus, Wincrash2, Netbus Pro além dos demais serviços que o Valhala
Honeypot também emula automaticamente, por intermédio da figura abaixo também é
possível verificar a execução desses serviços na máquina. Na Figura 24 há vários ícones
laranja ilustrando potes de mel, na linha destes ícones estão destacados os serviços ativos e
que por sinal são os mesmo da Figura 21.
Com o TCPView é possível visualizar o nome do processo em execução, o
protocolo utilizado, o nome da máquina, a porta em uso etc..
Figura 24 – Demonstrativo dos serviços Honeypot ativos na máquina

51
13.4 INVASÃO VIA PROMPT DE COMANDO DO WINDOWS
A figura abaixo exibe o acesso ao serviço FTP do Valhala Honeypot via Prompt de
comando do Windows, e também demonstra o relatório gerado pelo Honeypot referente ao
acesso executado. Esta figura serve para confirmar a execução e demonstrar o acesso ao
falso serviço gerado pelo Honeypot, mas abaixo também esta apresentado o resultado do
monitoramento executado pelo Honeypot. Nesse resultado pode ser percebido que houve a
invasão no serviço FTP, a conexão e desconexão do invasor.
Figura 25 – Invadindo via Prompt do Windows

52
CONCLUSÃO
Atualmente a Segurança da Informação tomou uma proporção significativa, sendo

tratada como um requisito fundamental para competir em uma economia globalizada, esse
conceito lhe atribuiu a responsabilidade por assegurar a obtenção dos resultados de longo
prazo. Essa conscientização se deu ao longo dos anos, e nos dias atuais não há companhia
que sobreviva sem a Segurança da Informação.
O presente trabalho descreveu a Gestão da Segurança da Informação, as técnicas de
segurança, apresentou as estratégias utilizadas em invasões, os vírus, as pragas virtuais, os
perfis dos invasores, os tipos de ataques e ainda apresentou um projeto prático, onde foram
criados falsos serviços em uma rede, que servem como atrativos para Hackers e invasores e
tem a finalidade de distrai-los dos verdadeiros serviços. Com o uso do Programa Valhala
Honeypot foi possível criar e monitorar esses serviços. O GFI Languard foi utilizado para
realizar uma busca na rede e verificar os eventuais serviços ativos e vulneráveis nas
máquinas, para complementar o trabalho utilizamos o software TCPView para mostrar os
serviços em execução, seus processos, protocolos e suas respectivas portas em uso.
Entretanto os métodos, as técnicas e os processos em geral apresentados neste
projeto, não podem garantir a segurança plena de uma rede de dados, se utilizados sem a
execução correta de todo o processo de Gestão da Segurança da Informação, além disso,
essa execução deve ser realizada por um profissional devidamente capacitado.
A parte prática deste trabalho se mostrou eficaz ao que foi proposto, onde
demonstrou uma técnica capaz de evitar acessos indevidos as informações e também
mostrou ser possível monitorar toda a ação realizada quando um indivíduo acessa os
serviços da rede. Entretanto essa implementação serve apenas para criar falsos serviços em
uma rede e monitorar a intrusão a eles, sendo necessário o uso de outras ferramentas
aliadas a estas para se obter uma confiabilidade e garantir a integridade das informações.
53
REFERÊNCIAS BIBLIOGRÁFICAS
1. ISO/IEC 27005 - Exemplificada Fernando Fonseca, ABNT NBR ISO-IEC 27005/2008.
2. NBR ISO/IEC 17799:2005. Tecnologia da informação - Técnicas de segurança – Código

de prática para a gestão da segurança da informação, Rio de Janeiro: ABNT, 2008.
3. NBR 9441 – Execução de sistemas de detecção e alarme de incêndio. Rio de Janeiro:

ABNT, 1998.
4. BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a

proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2005.
5. CARUSO, Carlos A. A; STEFFEN, Flávio Deny. Segurança em Informática e de

Informações. 3ª Ed. ver. E ampla. São Paulo: editora SENAC São Paulo, 2006.
6. CIDALE, Ricardo A. Vírus digital. Uma abordagem para prevenção e manutenção de

seus sistemas de informação. São Paulo: Makron McGraw-Hill, 1990.
7. SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Editora

Campus Elsevier, 2003.
8. TANEMBAU, Andrew S. Trad. SOUZA; Vandenberg D. de. Redes de Computadores.

4ª Ed. Editora Campus, 2003.
9. OLIVEIRA, M. A. F.; ELLWANGER, C.; VOGT, F. C. & R. C. NUNES. Framework

para gerenciamento de riscos em processos de gestão de segurança da informação baseado
no modelo DMAIC. XXIX Encontro Nacional de Engenharia de Produção (ENEGEP),
2009, Salvador, XXIX Encontro Nacional de Engenharia de Produção. Rio de Janeiro:
Abril, 2009.
10. HOGLUND, Greg; McGRAW Gary. Como Quebrar Códigos (A Arte de Explorar (E
Proteger) Software. São Paulo: Editora Pearson Education do Brasil. 2006
11. MITNICK, Kevin D.; SIMON, William L. A. A arte de Enganar: Ataque de Hackers:
Controlando o Fator Humano na Segurança da Informação. Tradução: Kátia Aparecida
Roque. São Paulo: Pearson Education do Brasil.. 2003.
12. Shipley, Peter. TCP/IP and its Weaknesses and Vulnerabilities. Disponível [Online]
http://www2.dis.org/filez/vun-1s.pdf, 19 Agosto, 2013.
13. Wikipédia, a enciclopédia livre. Sistema de detecção de intrusos. Disponível [Online]

http://pt.wikipedia.org/wiki/Sistema_de_detec%C3%A7%C3%A3o_de_intrusos, 19
Agosto, 2013.
14. Pedro, Augusto. Uma análise introdutória sobre honeypots, não focando em nenhum
software específico. Disponível [Online] https://sites.google.com/site/augustopedro/honeyd
19Agosto, 2013.
54
15. Moraes. P. Honeypot – Armadilha para Hackers. Disponível [Online]

http://www.menteantihacker.com.br/2012/02/03/honeypot-armadilha-para-hackers, 20
Agosto, 2013.
16. Wikipédia, a enciclopédia livre. Scanner de vulnerabilidades. Disponível [Online]

http://pt.wikipedia.org/wiki/Scanner_de_vulnerabilidades, 20 Agosto, 2013
17. Centro de Ameaças no site da ESET Améria Latina. Tipos de malware. Disponível
[Online] http://www.canalantivirus.com.br/downloads/tipos_de_malware_pt.pdf, 20
Agosto, 2013.
18. Wikipédia, a enciclopédia livre. Backdoor. Disponível [Online]

http://pt.wikipedia.org/wiki/Backdoor, 24 Agosto, 2013.
19. Kleinman, Zoe. Com laptop, especialistas ‘hackeiam’ e assumem controle de carros.
Disponível [Online] http://www.defesanet.com.br/cyberwar/noticia/11614/Com-laptop--
especialistas-%E2%80%98hackeiam%E2%80%99-e-assumem-controle-de-carros/, 26
Agosto, 2013.
20. Daquino, Fernando.Vírus é capaz de alterar boletos gerados na web e desviar os

pagamentos. Disponível [Online] http://www.tecmundo.com.br/virus/38564-virus-e-capaz-
de-alterar-boletos-gerados-na-web-e-desviar-os-pagamentos.htm, 26 Agosto, 2013.
21. Wikipédia, a enciclopédia livre. Stuxnet. Disponível [Online]

http://de.wikipedia.org/wiki/Stuxnet, 26 Agosto, 2013.
22. Flavio, Marcos. Segredos do Hacker Ético. Disponível [Online]

http://www.dicasedownloads.net/livros/ebook-segredos-do-hacker-etico-marcos-flavio-
assuncao/, 27 Agosto, 2013.
23. Wikipédia, a enciclopédia livre. Keylogger. Disponível [Online]

http://pt.wikipedia.org/wiki/Keylogger, 27 Agosto, 2013.
24. Müller, Leonardo. O que é Phishing?.Disponível [Online]

http://www.tecmundo.com.br/phishing/205-o-que-e-phishing-.htm, 28 Agosto, 2013.
25. Almeida, Douglas. SCANNERS - Ferramentas de ataque ou defesa?.Disponível

[Online] http://www.forum-invaders.com.br/vb/showthread.php/24450-SCANNERS-
Ferramentas-de-ataque-ou-defesa, 29 Agosto, 2013
26. Almeida, Rodrigues, Aléxis de. Como funcionam os Exploits. Disponível [Online]
http://www.invasao.com.br/2008/12/12/como-funcionam-os-exploits/, 02 Setembro, 2013.
27. Segurança em Redes Wireless – Parte 09 – Envenenamento ARP. Disponível [Online]

http://firewall.powerminas.com/seguranca-em-redes-wireless-parte-09-envenenamento-
arp/, 02 Setembro, 2013.
55
28. Almeida, Eduardo.DoS – Denial of Service, entenda como funciona o tipo de ataque
que “derrubou” alguns sites do governo Brasileiro.Disponível [Online]
http://www.web2solutions.com.br/blog/post/54/Seguranca/DoS-%E2%80%93-Denial-of-
Service--entenda-como-funciona-o-tipo-de-ataque-que-
%E2%80%9Cderrubou%E2%80%9D-alguns-sites-do-governo-Brasileiro-, 02 Setembro,
2013.
29. Alecrim, Emerson.Ataques DoS (Denial of Service) e DDoS (Distributed

DoS).Disponível [Online] http://www.infowester.com/ddos.php, 02 Setembro, 2013.
30. Wikipédia, a enciclopédia livre. Ping da morte. Disponível [Online]

http://pt.wikipedia.org/wiki/Ping_da_morte, 02 Setembro, 2013.
31. Network Dictionary;2007, p260. IP Sequence Prediction Attack. Disponível [Online]

http://connection.ebscohost.com/c/reference-entries/31667198/ip-sequence-prediction-
attack, 02 Setembro, 2013.
32. Selvan, Sabari. What is Pharming Attack? - DNS Poisoning. Disponível [Online]
http://www.breakthesecurity.com/2011/08/what-is-pharming-attack-dns-poisoning.html,
02 Setembro, 2013l
33. “Honeypot”. Disponível [Online] http://pt.wikipedia.org/wiki/Honeypot. 03 Agosto,

2013.
34. “GFI Languard”. Disponível em:www.gfi.com/products-and-solutions/network-

security-solutions/gfi-languard. 02 Agosto, 2013.
35. “GFI Languard”. Disponível [Online]:

http://en.wikibooks.org/wiki/GFI_Software/GFI_LANguard#Introduction. 05 Agosto,
2013.
36. “TCPView”. Disponível em: http://technet.microsoft.com/en-

us/sysinternals//bb897437.aspx. 05 Agosto, 2013.
37. ALBERTIN,Alberto Luíz; SANCHEZ,Otávio Próspero. “Outsourcing de ti”. Rio de

Janeiro : FGV, 2008.
38. RIBEIRO,Bruno; ALBUQUERQUE,Ricardo.” Segurança no desenvolvimento de

software”. Rio de Janeiro : Campus, 2002.
39. FERREIRA, Fernando Nicolau Freitas . ARAÚJO, Márcio Tadeu de. “Políticas de
segurança da informação - Guia prático para elaboração e implementação”. Rio de Janeiro:
Ciência Moderna, 2008.
56
GLOSSÁRIO
DATA CENTER: É o local onde são concentrados os equipamentos de processamento e

armazenamento de dados de uma empresa.
DISCO RÍGIDO: é o disco interno do computador onde os dados são armazenados.
DoS (DENIED OF SERVICE): Atividade maliciosa onde o atacante utiliza um

computador para tirar de operação um serviço ou computador conectado à Internet.
E-MAIL: Sistema para troca de mensagens de texto e arquivos de computador via

Internet.
FIREWALL: Dispositivo de segurança que monitora o tráfego de informação entre uma

rede de computadores e a Internet.
GATEWAY: É uma máquina intermediária geralmente destinada a interligar redes,

separar domínios de colisão, ou mesmo traduzir protocolos.
HACKER: Indivíduo com grande conhecimento em informática que consegue romper

códigos e senhas e entrar em sistemas exclusivos.
HELPDESK: Termo da língua inglesa que designa o serviço de apoio a usuários para
suporte e resolução de problemas
HARDWARE: Componentes físicos de um sistema de computador, abrangendo quaisquer

periféricos como impressoras, modems, mouses.
DVD: Abreviatura de Digital Versatile Disc, em português, Disco Digital Versátil, Contém
dados no formato digital.
INSUFLAMENTO: Técnica de elevação do ar frio concentrado na parte inferior de um

ambiente.
INTERNET: É um conglomerado de redes em escala mundial de milhões de

computadores interligados.
ITIL: IT Infrastructure Lybrary é uma biblioteca composta das melhores práticas para
Gerenciamento de Serviços de TI.
LINK: Conexão. Seja de dados, telefonia ou energia.

57
LOG: Registro de atividades gerado por programas de computador.
MICROSOFT WINDOWS SERVER 2003: Sistema operacional de redes desenvolvido

pela Microsoft, lançado em 2003.
NOBREAK: Equipamento destinado a suprir a alimentação elétrica dos equipamentos a

ele acoplados.
ROTEADOR: Um dispositivo de rede que permite interligar redes distintas.
SERVIDOR: É o computador que administra e fornece programas e informações para os

outros computadores conectados em rede.
SISTEMA OPERACIONAL: É o programa responsável pelo controle do hardware e

software.
SOFTWARE: Refere-se aos programas executados no computador.
STRING: Conjunto de caracteres.
TI: Tecnologia da Informação.
VÍRUS: Programa ou parte de um programa de computador, normalmente malicioso, que

se propaga infectando outros programas.
WEB: É o ambiente multimídia Internet, também conhecido como WWW.
WORMS: Programa capaz de se propagar automaticamente através de redes, enviando

cópias de si mesmo de computador para computador.

Implementando Técnicas de Segurança

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Implementando Técnicas de Segurança

Enviado por

Direitos autorais:

Formatos disponíveis

UNIVERSIDADE FEDERAL DE JUIZ DE FORA

INSTITUTO DE CIÊNCIAS EXATAS

Universidade Federal de Juiz de Fora

Orientador: Prof. Klaus Wehmuth

MONOGRAFIA SUBMETIDADA AO CORPO DOCENTE DO INSTITUTO DE

JUIZ DE FORA, MG - BRASIL

O objetivo desse trabalho é dissertar sobre a Gestão da Segurança da Informação,

1 LISTA DE ILUSTRAÇÕES .................................................................... 5

ILUSTRAÇÃO 1 Instalações internas Data Center....................................................................10

ILUSTRAÇÃO 2 Esquema de Rede Elétrica Redundante N+1....................................................11

ILUSTRAÇÃO 3 Esquema de Rede Elétrica Duplamente Redundante 2(N+1)................................12

ILUSTRAÇÃO 4 Insuflamentos de ar.....................................................................................13

ILUSTRAÇÃO 5 Processo de Gestão de Riscos........................................................................18

ILUSTRAÇÃO 6 Código do boleto........................................................................................23

ILUSTRAÇÃO 7 Alteração do código do boleto.......................................................................23

ILUSTRAÇÃO 8 Simatic S7.................................................................................................24

ILUSTRAÇÃO 9 Controle do carro transferido para uma manete de videogame.............................25

ILUSTRAÇÃO 10 Incidentes reportados ao CERT.br...............................................................28

ILUSTRAÇÃO 11 Modelo de Rogue.....................................................................................30

ILUSTRAÇÃO 12 Tela inicial GFI Languard..........................................................................39

ILUSTRAÇÃO 13 Configuração do GFI Languard.................................................................. 40

ILUSTRAÇÃO 14 Configuração das portas TCP do GFI Languard............................................ .41

ILUSTRAÇÃO 15 Configuração das portas UDP do GFI Languard.............................................42

ILUSTRAÇÃO 16 Configuração dos serviços do Honeypot.......................................................43

ILUSTRAÇÃO 17 Tela de configuração Valhala Honeypot.......................................................44

ILUSTRAÇÃO 18 Serviços ativados para teste.......................................................................45

ILUSTRAÇÃO 19 Ferramenta TCPView ativa.......................................................................46

ILUSTRAÇÃO 20 Serviços ativos da máquina 192.168.1.103 sem o Honeypot............................47

ILUSTRAÇÃO 21 Scanner da rede com os serviços do Honeypot ativos.....................................48

ILUSTRAÇÃO 23 Cont. Relatório de monitoramento do Honeypot ...........................................49

ILUSTRAÇÃO 24 Demonstrativo dos serviços Honeypot ativos na máquina...............................50

ILUSTRAÇÃO 25 Invadindo via Prompt do Windows.............................................................51

3 GESTÃO DA SEGURANÇA DA INFORMAÇÃO

Diariamente são elaborados novos modelos de ataques, devido a isso os usuários

3.1 SEGURANÇA DA INFORMAÇÃO

Conforme mencionando no tópico acima, a Confidencialidade, Integridade e

Pontos relevantes à política de segurança:

 Programas de antivírus profissionais e atualizados;

Cabe ressaltar, que apenas investir em tecnologia não é suficiente, se outros

3.2 CAMADA DE SEGURANÇA FÍSICA

A camada de segurança física é o local onde são instalados os componentes

Figura 1: Instalações internas Data Center

serviço da instituição podem ser utilizados geradores de energia. Nobreak e geradores

Figura 2: Esquema de Rede Elétrica Redundante N+1

Figura 3: Esquema de Rede Elétrica Duplamente Redundante 2(N+1)

O cabeamento deve respeitar algumas normas de segurança, como a separação dos

 Linhas de transmissão das instalações do Data Center devem ser protegidas,

 Varreduras e inspeções físicas para detectar a presença de dispositivos não

“Sempre que os serviços sejam taxados como críticos, deve-se analisar a

3.3 CAMADA DE SEGURANÇA LÓGICA

Na camada lógica é feito o uso de softwares, que são responsáveis pelo

Escaneamento de vírus conhecidos: Este é o principal método de localização de

Analise Heurística: este processo consiste em uma análise por parte do

3.4 SEGURANÇA HUMANA

A terceira camada de segurança em rede, é a que possui a maior probabilidade de

Existem quatro momentos distintos para o uso dessa documentação:

Outro ponto fundamental é o monitoramento das atividades no ambiente de TI,

3.5 POLÍTICA DE SEGURANÇA

A política de segurança é um conjunto de documentos, que se destinam a

Os principais pontos da política de segurança são:

Processual: é o método para formalizar processos de segurança da informação e

3.6 ANÁLISE DE RISCOS

“Gerenciar os riscos é um dos principais processos da gestão da segurança da

Figura 5: Processo de Gestão de Riscos