Escolar Documentos
Profissional Documentos
Cultura Documentos
Curso On-Line
Segurança da Informação Introdução
Vulnerabilidade – falha no projeto, implementação
ou configuração de software ou sistema operacional
que, quando explorada por um atacante, resulta na
violação da segurança de um computador.
Principais Ameaças e Vulnerabilidades
Um software ou sistema operacional pode conter uma
Kalinka Regina Lucas Jaquie Castelo Branco vulnerabilidade que permite sua exploração remota através
da rede.
Slides baseados nos slides do prof. Gleyson Azevedo,
profa. Luciana Martimiano, CERT.BR, entre outros.
Nesse caso, um atacante conectado à Internet, ao explorá-
la, pode obter acesso não autorizado ao computador
vulnerável.
4 5
6 7
1
10/03/19
Obtenção de Informações -
Engenharia Social Ataques tipo “força bruta”
Estes casos mostram ataques típicos de engenharia • Coletam dados do usuário (nomes, datas, telefones, etc).
social, pois os discursos apresentados nos exemplos
procuram induzir o usuário a realizar alguma tarefa e • Elaboram combinações entre estes dados.
o sucesso do ataque depende única e exclusivamente
da decisão do usuário em fornecer informações • Para cada combinação produzida, uma tentativa de acesso
sensíveis ou executar programas. é realizada.
• Facilmente combatidos com limites de tentativas
e captchas.
8 8
Obtenção de Informações -
Bombas Lógicas Phishing
¤ Um dos mais velhos aplicativos maliciosos, precedendo os vírus e worms Phishing – tipo de fraude que se dá por meio do envio de
¤ Código embutido em programas legítimos que quando certas condições mensagem não solicitada, passando-se por comunicação
forem atingidas ele “explode” de uma instituição conhecida, como um banco, empresa
¤ Data específica ou site popular, e que procura induzir o acesso a páginas
¤ presença ou falta de arquivos fraudulentas (falsificadas), projetadas para furtar dados
¤ determinado usuário que esteja rodando a aplicação pessoais e financeiros de usuários. Também conhecido
¤ Quando é disparada, pode apagar e alterar ou remover dados ou como phishing scam ou phishing/scam.
arquivos inteiros, causar uma pane na máquina ou algum outro dano
A palavra phishing (de "fishing") vem de uma analogia
criada pelos fraudadores, onde "iscas" (e-mails) são
usadas para "pescar" senhas e dados financeiros de
usuários da Internet.
9
Como se proteger ?
10 11
2
10/03/19
Sniffer – dispositivo ou programa de computador utilizado Pode ser usado por um invasor para capturar informações
sensíveis (como senhas de usuários), em casos onde
para capturar e armazenar dados trafegando em uma rede estejam sendo utilizadas conexões inseguras, ou seja, sem
de computadores. criptografia.
Há diversos softwares com essa capacidade, como o Há diversas técnicas que podem ser empregadas na
tcpdump, fornecido com o Linux, o Ethereal e o Wireshark. detecção remota de sniffers: requisição ICMP com falso
MAC, requisição ARP com falso MAC, DNS reverso,
Latência, dentre outras.
12 13
13 14
Exercícios Exercícios
2. (Perito Criminal Federal – Computação Científica – PF/2002 - CESPE) [44]
Considere uma rede em que há a suspeita da existência de um sniffer
instalado em uma das máquinas que compõem a rede, realizando escutas
desautorizadas. Com relação a essa situação, julgue os itens abaixo.
1 [1] Constitui boa estratégia de detecção de sniffer aquela que se fundamenta na 3. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 –
identificação do tráfego gerado por ele durante a escuta, tráfego que CESPE) Acerca das vulnerabilidades e proteções dos sistemas de
normalmente acontece em grande quantidade, seja o sniffer em redes comutadas informação, julgue o item a seguir.
ou não. 1 [99] A captura de pacotes que trafegam na rede com uso de um sniffer é um
2 [2] Pode-se detectar a existência de um sniffer na rede usando-se outro sniffer e exemplo de ataque para o qual não há nenhuma forma de detecção possível pelo
verificando quem faz consultas de DNS quando uma nova máquina é adicionada administrador de rede.
à rede.
3 [3] Na identificação de um snnifer, constitui boa estratégia o envio de pings em
broadcast e a comparação dos tempos de resposta das várias máquinas no
segmento: o tempo de resposta da máquina que contém sniffer provavelmente
será maior que o das outras máquinas.
4 [4] Um sniffer comum — passivo — em uma rede comutada consegue capturar
tráfego.
5 [5] A detecção de um sniffer quase sempre acontece com sucesso, sendo a sua
identificação fundamentada no endereço MAC.
15 16
3
10/03/19
17 17
17 18
19 20
4
10/03/19
Spoofing – IP Spoofing – IP
Muitos serviços que utilizam o protocolo TCP/IP funcionam Para que haja uma conexão entre dois hosts existem uma
às custas de um tipo de autenticação baseada em hosts série de checagens passadas de lado a lado até que a
(address-based authentication).
conexão seja definitivamente estabelecida.
Assim, a autenticação para um determinado serviço é feita
pela simples verificação do hostname e/ou IP do solicitante Por esta razão, o TCP se utiliza de uma seqüência de
em uma lista de “hosts confiáveis”. números, associando-os aos pacotes como
Se houver relação, o solicitante estará autorizado a utilizar identificadores, que são utilizados por ambos os hosts
o serviço, do contrário, não. para checagens de erros e informe destes, de maneira
Todavia, o spoofing não é tão simples assim. O fato de se que ao ser iniciada a conexão, o host solicitante envia um
alterar o IP da origem não torna o spoofing possível, pois pacote TCP com uma seqüência de números inicial.
há outras condicionantes, entre as quais a mais importante
é como são gerenciadas as conexões e transferências TCP.
21 22
Spoofing – IP Spoofing – IP
O servidor responde então com sua seqüência de números Existe uma infinidade de ferramentas para facilitar esta
e um ACK. Esta seqüência é igual a do cliente + 1. tarefa, que, em sua maioria, são programas que analisam
Quando o solicitante ou cliente recebe o ACK do servidor as seqüências e tentam obter uma lógica qualquer entre
ele envia então o seu, que trata-se da seqüência enviada os números.
inicialmente pelo servidor + 1.
Como exemplo, tem-se o spoofit, o mendax, o
A pessoa que irá realizar o spoofing tem então dois seq_number, o ipspoof e outros, todos em C, o que
problemas na verdade: o de alterar o IP origem, mais significa que podem ser executados em várias
simples de resolver, e o de manter a seqüência de plataformas, dependendo apenas de uma compilação
números, que por serem geradas arbitrariamente, correta.
complica em muito esta tarefa.
23 24
25 26
5
10/03/19
Exercícios
Spoofing – DNS
4. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 –
Esta técnica é muito simples e não requer grandes
CESPE) Acerca das vulnerabilidades e proteções dos sistemas de
conhecimentos do TCP/IP. informação, julgue o item a seguir.
Consiste em se alterar as tabelas de mapeamento de host 1 [98] Um ataque de scanner consiste na monitoração de serviços e versões de
software que estão sendo executados em um determinado sistema. Um sistema
name – IP address dos servidores DNS, de maneira que os firewall que implementa um filtro de conexões é capaz de anular os efeitos desse
servidores, ao serem perguntados pelos seus clientes sobre tipo de ataque.
um hostname qualquer, informam o IP errado, ou seja, o 5. (Analista Judiciário – Informática – STJ/2008 - CESPE) Com respeito a
do host que está aplicando o DNS spoofing. vulnerabilidades e ataques a sistemas computacionais, julgue o item
que se segue.
1 [109] Em redes IP que utilizam switches, pode-se realizar a escuta do tráfego
com o ARP spoofing.
27 28
Exercícios Exercícios
6. (Analista de Controle Externo – Tecnologia da Informação – TCU/2008 - 8. (Analista de Tecnologia da Informação – Redes – DATAPREV/2006 –
CESPE) Julgue o item abaixo, relativo à segurança da informação. CESPE) No referente a segurança de rede e controle de acesso, julgue
1 [174] Em caso de ataques do tipo e-mail spoofing aos usuários da rede, os itens que se seguem.
recomenda-se que o administrador da rede adote o uso de certificados do tipo 1 [67] A restrição na capacidade de aprendizado de endereços nas portas de um
X.509, o qual permitirá aos destinatários identificarem corretamente os e-mails switch é suficiente para evitar o ARP spoofing.
recebidos.
2 [69] Ataques ao STP (spanning tree protocol – IEEE 802.1D) podem potencializar
7. (Técnico Científico – Banco da Amazônia/2006 - CESPE) No tocante a ataques como o do MAC flooding e o do ARP spoofing.
vulnerabilidades, mecanismos, técnicas e políticas de segurança em
redes, julgue o item a seguir.
1 [112] Um ataque de spoofing se baseia em uma situação na qual uma pessoa ou
programa consegue se mascarar com sucesso, por exemplo, se fazendo passar
por outra por meio de falsificação de dados. Um exemplo desse tipo de ataque
vem da área de criptografia e é conhecido como man in the middle attack.
29 30
6
10/03/19
31 32
33 34
35 36
7
10/03/19
37 38
39 40
41 42
8
10/03/19
43 44
45 46
47 48
9
10/03/19
49 50
51 52
53 54
10
10/03/19
55 56
57 58
59 60
11
10/03/19
61 62
63 63
64 65
12
10/03/19
66 67
68 69
70 71
13
10/03/19
72 73
74 75
Exercícios
SPAM
15. (Analista de Controle Externo – Auditoria de TI – TCU/2007 - CESPE) Termo usado para se referir a mensagens (não
Julgue o próximo item acerca dos conceitos de segurança da Necessariamente email) não solicitadas, mas geralmente
informação.
1 [154] Rootkits apresentam portabilidade entre plataformas e devem ser
enviadas para um grande número de pessoas.
manuseados conforme os controles estabelecidos no capítulo relativo à
aquisição, desenvolvimento e manutenção de sistemas de informação da NBR
17799.
São utilizados para propagar malwares ou páginas falsas
(phishing) que copiam dados de usuários.
76 77
14
10/03/19
77 78
Exercícios
Negação de Serviço (DoS)
Cabe ressaltar que se uma rede ou computador sofrer um 16. (Analista de Controle Externo – Tecnologia da Informação – TCU/2008 -
CESPE) Julgue o item abaixo, relativo à segurança da informação.
DoS, isto não significa que houve uma invasão, pois o
1 [176] Considere que um dos hosts da rede de uma organização esteja sofrendo
objetivo de tais ataques é indisponibilizar o uso de um ou um ataque da classe de negação de serviço (denial of service – DoS) e que,
mais computadores, e não invadi-los. visando identificar de forma mais precisa o ataque que o host está sofrendo, o
administrador tenha constatado que há elevada razão entre o número de pacotes
No exemplo citado, as empresas não tiveram seus TCP do tipo SYN e o número de pacotes TCP do tipo ACK que estão sendo
computadores comprometidos, mas ficaram enviados para o host sob ataque e que, por outro lado, a razão entre o número de
pacotes TCP do tipo SYN recebidos pelo host e o número de pacotes do tipo
impossibilitadas de vender seus produtos durante um SYN/ACK enviados pelo host é aproximadamente igual a 1. Nessa situação, o
longo período. administrador deverá considerar a possibilidade de o ataque sob análise ser do
tipo SYN flood, visto que são reduzidas as chances de o ataque ser do tipo
NAK/ACK.
79 80
Exercícios Exercícios
17. (Analista de Sistemas – Suporte de Infraestrutura – IPEA/2008 - CESPE) 19. (Perito Criminal Federal – Computação Científica – PF-Regional/2004 –
Acerca de segurança em redes, julgue o item abaixo. CESPE) Acerca da segurança fornecida em ambientes de redes, julgue o
1 [118] Em um ataque negação de serviço por refletor — reflector distributed denial item a seguir.
of service (DDoS) — entidades escravas do atacante constroem pacotes que 1 [105] Um dos mais conhecidos ataques a um computador conectado a uma rede
requerem respostas e contém o endereço IP do alvo como endereço fonte no é o de negação de serviço (DoS – denial of service), que ocorre quando um
cabeçalho, de modo que ao serem enviados a computadores não infectados, os determinado recurso torna-se indisponível devido à ação de um agente que tem
refletores, tais pacotes provocam respostas direcionadas ao endereço alvo do por finalidade, em muitos casos, diminuir a capacidade de processamento ou de
ataque. armazenagem de dados.
18. (Tecnologista Jr – MCT/2008 – CESPE) Julgue o item abaixo, acerca de 20. (Analista de Controle Externo – Auditoria de TI – TCU/2007 - CESPE)
segurança dos sistemas de informação computacional e das redes de Julgue o próximo item acerca dos conceitos de segurança da
comunicação. informação.
1 [106] A contramedida que consiste em varrer portas de servidores locais para 1 [157] A detecção, por um sniffer de rede, de uma longa série de segmentos TCP
descobrir serviços que estão indevidamente ativos é um dos modos efetivos de SYN enviados de um host local para um host remoto, sem o correspondente
realizar o rastreamento e a identificação das fontes de ataque do tipo negação de envio de segmentos TCP ACK, sugere que a rede sob análise pode estar
serviço distribuído. sofrendo um ataque de negação de serviço.
81 82
15
10/03/19
Exploits
Exemplos
¤ Um exploit, em segurança da informação, é um programa de computador,
uma porção de dados ou uma sequência de comandos que se aproveita das
vulnerabilidades de um sistema computacional – como o próprio sistema
operacional ou serviços de interação de protocolos (ex: servidores Web).
http://antispam.br/
Anti-Spyware Anti-Span
¤ Programa utilizado para combater spyware ¤ Programa que utiliza mecanismos de detecção
(keyloggers, screenlogers entre outros de mensagens indesejadas, além de permitir a
programas espiões). separação dos e-mails conforme regras pré-
definidas.
16
10/03/19
Referências Interessantes
Fator Humano Open Web Application Security Project (OWASP) -
http://www.owasp.org/
OWASP Top 10 -
http://www.owasp.org/index.php/OWASP_Top_10
¤ Não esqueçam do ser humano, o elo mais Security Focus – http://www.securityfocus.com
fraco da corrente!!!!!
Cert.Br – http://www.cert.br
Práticas de Segurança para Administradores de Redes
Internet - http://www.cert.br/docs/seg-adm-redes/
Help Net Security - http://www.net-security.org/
Sans.org – http://www.sans.org
Top Cyber Security Risks -
http://www.sans.org/top-cyber-security-risks/
Top 25 Software Errors -
http://www.sans.org/top25-software-errors/
Referências Interessantes
STALLINGS, William. Network Security Essentials – Applications and
Standards – 3rd Edition. Pearson. 2007
PADRÃO ISO/IEC INTERNACIONAL 17799 - Tecnologia da Informação –
Código de Prática para Gestão da Segurança de Informações
Catálogo de fraudes (CAIS) - http://www.rnp.br/cais/fraudes.php
Network Security History –
http://web.mit.edu/~bdaya/www/Network%20Security.pdf
10 Famous Hackers -
http://curiosity.discovery.com/topic/internet-communications/10-famous-
hackers-hacks1.htm
Fóruns
Invaders - http://www.forum-invaders.com.br/vb/
Invasão - http://www.forum.invasao.com.br/
17