Escolar Documentos
Profissional Documentos
Cultura Documentos
• Normas
• Normas são documentos estabelecidos por consenso e aprovado por um organismo
reconhecido, que fornece, para uso comum e repetitivo, regras, diretrizes ou características
para atividades ou seus resultados, visando a obtenção de um grau ótimo de ordenação em um
dado contexto.
• Malvertising
• Tipo de golpe que consiste em criar anúncios maliciosos e, por meio de serviços de
publicidade, apresentá-los em diversas páginas Web.
11
Golpes na Internet
• Phishing
• Phishing é o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros
de um usuário, pela utilização combinada de meios técnicos e engenharia social.
• O phishing ocorre por meio do envio de mensagens eletrônicas que:
• tentam se passar pela comunicação oficial de uma instituição conhecida, como um banco,
uma empresa ou um site popular;
• procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade
de obter alguma vantagem financeira;
• informam que a não execução dos procedimentos descritos pode acarretar sérias
consequências, como a inscrição em serviços de proteção de crédito e o cancelamento de um
cadastro, de uma conta bancária ou de um cartão de crédito;
• tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do acesso a
páginas falsas, que tentam se passar pela página oficial da instituição.
12
Golpes na Internet
• Pharming
• Pharming é um tipo específico de phishing que envolve a redireção da navegação do usuário
para sites falsos, por meio de alterações no serviço de DNS (Domain Name System).
• Neste caso, quando o usuário tenta acessar um site legítimo, o seu navegador Web é redirecionado, de
forma transparente, para uma página falsa.
• Boato (Hoax)
• Um boato, ou hoax, é uma mensagem que possui conteúdo alarmante ou falso e que, geralmente, tem
como remetente, ou aponta como autora, alguma instituição, empresa importante ou órgão
governamental.
• Por meio de uma leitura minuciosa de seu conteúdo, normalmente, é possível identificar informações sem
sentido e tentativas de golpes, como correntes e pirâmides.
• Scam
• Esquemas ou ações enganosas e/ou fraudulentas. Normalmente, têm como finalidade obter
vantagens financeiras.
• Engenharia Social
• Termo utilizado para descrever um método de ataque em que alguém faz uso da persuasão,
muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que
podem ser utilizadas para ter acesso não autorizado a computadores ou informações.
• É considerada uma prática de má-fé, usada por golpistas para tentar explorar a ganância, a
vaidade e a boa-fé ou abusar da ingenuidade e da confiança de outras pessoas, a fim de
aplicar golpes, ludibriar ou obter informações sigilosas e importantes.
14
Ataques na Internet
• Ataques costumam ocorrer na Internet com diversos objetivos, visando diferentes alvos e usando
variadas técnicas.
• Qualquer serviço, computador ou rede que seja acessível via Internet pode ser alvo de um
ataque, assim como qualquer computador com acesso à Internet pode participar de um ataque.
• Os motivos que levam os atacantes a desferir ataques na Internet são bastante diversos, variando
da simples diversão até a realização de ações criminosas. Alguns exemplos são:
• Demonstração de poder;
• Motivações financeiras;
• Prestígio;
• Motivações ideológicas;
• Motivações comerciais.
15
Ataques na Internet
• Exploração de vulnerabilidades
• Uma vulnerabilidade é definida como uma condição que, quando explorada por um atacante,
pode resultar em uma violação de segurança. Exemplos de vulnerabilidades são falhas no
projeto, na implementação ou na configuração de programas, serviços ou equipamentos de
rede.
• Um ataque de exploração de vulnerabilidades ocorre quando um atacante, utilizando-se de
uma vulnerabilidade, tenta executar ações maliciosas, como invadir um sistema, acessar
informações confidenciais, disparar ataques contra outros computadores ou tornar um
serviço inacessível.
• Exploit
• Programa ou parte de um programa malicioso projetado para explorar uma vulnerabilidade
existente em um programa de computador.
16
Ataques na Internet
• Varredura em redes (Scan)
• Varredura em redes, ou scan, é uma técnica que consiste em efetuar buscas minuciosas em redes, com
o objetivo de identificar computadores ativos e coletar informações sobre eles como, por exemplo,
serviços disponibilizados e programas instalados.
• Com base nas informações coletadas é possível associar possíveis vulnerabilidades aos serviços
disponibilizados e aos programas instalados nos computadores ativos detectados.
• Scanner
• Programa usado para efetuar varreduras em redes de computadores, com o intuito de identificar quais
computadores estão ativos e quais serviços estão sendo disponibilizados por eles. Amplamente usado
por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos
serviços habilitados em um computador.
• Nmap
• Ferramenta de código fonte aberto largamente utilizada para realização de varredura em
redes e coleta de informações sobre hosts e serviços ativos, estado das portas e sistemas
operacionais utilizados.
• Possui interface gráfica e por linha de comando.
• Multi plataforma(Linux, UNIX, Windows e Mac OS X). 17
Ataques na Internet
18
Ataques na Internet
• Man-in-the-middle
• Tipo de ataque no qual o atacante se passa por uma entidade autorizada agindo como intermediário para
roubar informações de identidade.
19
Ataques na Internet
20
Códigos maliciosos (Malware)
21
Códigos maliciosos (Malware)
• Vírus
• Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que
se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e
arquivos.
• Para que possa se tornar ativo e dar continuidade ao processo de infecção, o vírus depende
da execução do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja
infectado é preciso que um programa já infectado seja executado.
• Alguns dos tipos de vírus mais comuns são:
• Vírus propagado por e-mail;
• Vírus de script;
• Vírus de macro;
• Vírus de telefone celular.
22
Códigos maliciosos (Malware)
• Worm
• Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias
de si mesmo de computador para computador.
• Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em
outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela
exploração automática de vulnerabilidades existentes em programas instalados em
computadores.
• Worms são notadamente responsáveis por consumir muitos recursos, devido à grande
quantidade de cópias de si mesmo que costumam propagar e, como consequência, podem
afetar o desempenho de redes e a utilização de computadores.
23
Códigos maliciosos (Malware)
• Bot
• Bot é um programa que dispõe de mecanismos de comunicação com o invasor que permitem
que ele seja controlado remotamente.
• Possui processo de infecção e propagação similar ao do worm, ou seja, é capaz de se
propagar automaticamente, explorando vulnerabilidades existentes em programas instalados
em computadores.
• Computador zumbi (zombie computer)
• Computador infectado por um bot, que possibilita que o equipamento seja controlado
remotamente, sem o conhecimento do seu dono, normalmente para realizar um ataque
a outro computador.
• Botnet
• Botnet é uma rede formada por centenas ou milhares de computadores zumbis e que
permite potencializar as ações danosas executadas pelos bots.
• Quanto mais zumbis participarem da botnet mais potente ela será. O atacante que a
controlar, além de usá-la para seus próprios ataques, também pode alugá-la para outras
pessoas ou grupos que desejem que uma ação maliciosa específica seja executada.
24
Códigos maliciosos (Malware)
• Spyware
• Spyware é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para
terceiros.
• Pode ser usado tanto de forma legítima quanto maliciosa, dependendo de como é instalado, das ações realizadas, do tipo de
informação monitorada e do uso que é feito por quem recebe as informações coletadas.
• Alguns tipos específicos de programas spyware são:
• Keyloggers
• Tipo de programa especializado em capturar e armazenar informações digitadas no teclado.
• Tipos de Keyloggers
• Keyloggers locais
• São os tipos mais comuns de capturadores de teclas;
• Rodam localmente e armazenam as informações capturadas no disco;
• Programa ou dispositivo físico (USB ou PS/2).
• Keyloggers remotos
• Permite enviar as informações capturadas por e-mail.
• Screenloggers
• Similar ao keylogger, capaz de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que
o mouse é clicado, ou a região que circunda a posição onde o mouse é clicado. São bastante utilizados por atacantes
para capturar as teclas digitadas pelos usuários em teclados virtuais, disponíveis principalmente em sites de Internet
Banking. 25
Códigos maliciosos (Malware)
• Backdoor
• Backdoor é um programa que permite o retorno de um invasor a um computador
comprometido, por meio da inclusão de serviços criados ou modificados para este fim.
• Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado
o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas
instalados no computador para invadi-lo.
• Após incluído, o backdoor é usado para assegurar o acesso futuro ao computador
comprometido, permitindo que ele seja acessado remotamente, sem que haja necessidade
de recorrer novamente aos métodos utilizados na realização da invasão ou infecção e, na
maioria dos casos, sem que seja notado.
26
Códigos maliciosos (Malware)
• Rootkit
• Rootkit é um conjunto de programas e técnicas que permite esconder e assegurar a presença
de um invasor ou de outro código malicioso em um computador comprometido.
27
Códigos maliciosos (Malware)
• Ransomware
• Programa que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que
exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário.
• É um tipo de código malicioso
• assim como vírus, trojan, backdoor, worm, bot e spyware.
• Pode infectar:
• computadores (desktop, notebook, servidores, etc.);
• equipamentos de rede (modems, switches, roteadores, etc.);
• dispositivos móveis (tablets, celulares, smartphones, etc.).
• Ações mais comuns:
• impede o acesso ao equipamento (Locker ransomware);
• impede o acesso aos dados armazenados no equipamento, geralmente usando criptografia (Crypto ransomware).
• Extorsão é o principal objetivo dos atacantes:
• pagamento feito geralmente via bitcoins;
• não há garantias de que o acesso será restabelecido;
• mesmo que o resgate seja pago.
• normalmente usa criptografia forte;
• Costuma buscar outros dispositivos conectados, locais ou em rede, e criptografá-los também.
28
Códigos maliciosos (Malware)
• Ransomware
• Infecção pode ocorrer pela execução de arquivo infectado:
• recebido:
• via links em e-mails, redes sociais e mensagens instantâneas;
• anexado a e-mails.
• baixado de sites na Internet.
• acessado:
• via arquivos compartilhados;
• via páginas Web maliciosas, usando navegadores vulneráveis.
• Não se propaga sozinho.
• Nem sempre é possível reverter as ações danosas já feitas ou recuperar totalmente os dados.
29
Códigos maliciosos (Malware)
• Ransomware
Como se prevenir contra ataques do tipo Ransomware
• Fazer backup regularmente:
• Backup é a solução mais efetiva contra ransomware;
• Manter os backups atualizados e desconectados do sistema;
• Fazer cópias redundantes.
• Manter os programas instalados sempre atualizados:
• Remover programas não utilizados;
• Configurar a atualização automática dos programas;
• Utilizar apenas softwares originais.
• Manter um antivírus (antimalware) instalado e sempre atualizado:
• Configurar o antivirus para verificar automaticamente:
• toda e qualquer extensão de arquivo;
• arquivos anexados aos e-mails e obtidos pela Internet;
• discos rígidos e unidades removíveis.
30
Códigos maliciosos (Malware)
• Ransomware
• Como se prevenir contra ataques do tipo Ransomware
• Assegurar-se de ter um firewall pessoal instalado e ativo.
• Utilizar antispam para filtrar as mensagens indesejadas.
• Desabilitar a auto-execução de mídias removíveis e arquivos anexados.
• Utilizar a conta de administrador do sistema apenas quando necessário.
• Ser cuidadoso ao clicar em links curtos.
• Ao instalar aplicativos de terceiros, selecionar aqueles bem avaliados e com grande
quantidade de usuários.
31
Outros riscos
• Spam
• Spam é o termo usado para se referir aos e-mails não solicitados, que geralmente são
enviados para um grande número de pessoas.
• Blacklist
• Lista de e-mails, domínios ou endereços IP, reconhecidamente fontes de spam.
• Cookies
• Cookies são pequenos arquivos que são gravados em seu computador quando você
acessa sites na Internet e que são reenviados a estes mesmos sites quando novamente
visitados. São usados para manter informações sobre você, como carrinho de compras, lista
de produtos e preferências de navegação.
32
Mecanismos de segurança
• Acordo de Não-Divulgação (Non-Disclosure Agreement)
• Documento que tem por objetivo garantir o tratamento adequado e proteção de informações sensíveis, pessoais e/ou
confidenciais.
33
Criptografia
• A criptografia, considerada como a ciência e a arte de escrever mensagens em forma cifrada ou em código.
• É um dos principais mecanismos de segurança que você pode usar para se proteger dos riscos associados ao
uso da Internet.
• Termos empregados em criptografia:
TERMO SIGNIFICADO
Texto claro Informação legível (original) que será protegida, ou seja, que será codificada
Texto codificado (cifrado) Texto ilegível, gerado pela codificação de um texto claro
Codificar (cifrar) Ato de transformar um texto claro em um texto codificado
Decodificar (decifrar) Ato de transformar um texto codificado em um texto claro
Método criptográfico Conjunto de programas responsável por codificar e decodificar informações
Chave Similar a uma senha, é utilizada como elemento secreto pelos métodos
criptográficos. Seu tamanho é geralmente medido em quantidade de bits
Canal de comunicação Meio utilizado para a troca de informações
Remetente Pessoa ou serviço que envia a informação
Destinatário 34
Pessoa ou serviço que recebe a informação
Criptografia
• De acordo com o tipo de chave usada, os métodos criptográficos podem ser subdivididos em duas
grandes categorias: criptografia de chave simétrica e criptografia de chaves assimétricas.
• Criptografia de chave simétrica: também chamada de criptografia de chave secreta ou única,
utiliza uma mesma chave tanto para codificar como para decodificar informações, sendo
usada principalmente para garantir a confidencialidade dos dados.
• Criptografia de chaves assimétricas: também conhecida como criptografia de chave pública,
utiliza duas chaves distintas: uma pública, que pode ser livremente divulgada, e uma privada,
que deve ser mantida em segredo por seu dono.
35
Criptografia
36
Criptografia
• Assinatura digital
• A assinatura digital permite comprovar a autenticidade e a integridade de uma informação, ou seja, que ela
foi realmente gerada por quem diz ter feito isto e que ela não foi alterada.
• Certificado digital
• O certificado digital é um registro eletrônico composto por um conjunto de dados que distingue uma entidade
e associa a ela uma chave pública. Ele pode ser emitido para pessoas, empresas, equipamentos ou serviços na
rede (por exemplo, um site Web) e pode ser homologado para diferentes usos, como confidencialidade e
assinatura digital.
• Um certificado digital pode ser comparado a um documento de identidade, por exemplo, o seu passaporte,
no qual constam os seus dados pessoais e a identificação de quem o emitiu. No caso do passaporte, a
entidade responsável pela emissão e pela veracidade dos dados é a Polícia Federal. No caso do certificado
digital esta entidade é uma Autoridade Certificadora (AC).
• Autoridade certificadora
• Entidade responsável por emitir e gerenciar certificados digitais.
37
Criptografia
• SSH
• Do inglês Secure Shell. Protocolo que utiliza criptografia para acesso a um computador
remoto, permitindo a execução de comandos, transferência de arquivos, entre outros.
38
Uso seguro da Internet
39
Uso seguro da Internet
40
Uso seguro da Internet
• Tipos de conexão
• Conexão padrão: é a usada na maioria dos acessos realizados. Não provê requisitos de
segurança.
• Alguns indicadores deste tipo de conexão são:
• o endereço do site começa com "http://";
• em alguns navegadores, o tipo de protocolo usado (HTTP), por ser o padrão das
conexões, pode ser omitido na barra de endereços;
• um símbolo do site (logotipo) é apresentado próximo à barra de endereço e, ao passar
o mouse sobre ele, não é possível obter detalhes sobre a identidade do site.
41
Uso seguro da Internet
• Conexão segura: é a que deve ser utilizada quando dados sensíveis são transmitidos, geralmente usada
para acesso a sites de Internet Banking e de comércio eletrônico. Provê autenticação, integridade e
confidencialidade, como requisitos de segurança.
• Alguns indicadores deste tipo de conexão são:
• o endereço do site começa com "https://";
• o desenho de um "cadeado fechado" é mostrado na barra de endereço e, ao clicar sobre ele,
detalhes sobre a conexão e sobre o certificado digital em uso são exibidos;
• um recorte colorido (branco ou azul) com o nome do domínio do site é mostrado ao lado da
barra de endereço (à esquerda ou à direita) e, ao passar o mouse ou clicar sobre ele, são
exibidos detalhes sobre conexão e certificado digital em uso.
42
Uso seguro da Internet
• IDS (Intrusion Detection System)
• Programa, ou um conjunto de programas, cuja função é detectar atividades maliciosas ou anômalas.
• Log
• Termo técnico que se refere ao registro de atividades gerado por programas e serviços de um computador, por
exemplo, de conexão (informações sobre a conexão de um computador à Internet) e de acesso a aplicações
(informações de acesso de um computador a uma aplicação de Internet).
• Proxy
• Servidor que atua como intermediário entre um cliente e outro servidor. Normalmente é utilizado em empresas para
aumentar o desempenho de acesso a determinados serviços ou permitir que mais de uma máquina se conecte à
Internet.
• VPN
• Do inglês Virtual Private Network. Termo usado para se referir à construção de uma rede privada utilizando redes
públicas (por exemplo, a Internet) como infraestrutura.
• Esses sistemas utilizam criptografia e outros mecanismos de segurança para garantir que somente usuários
autorizados possam ter acesso à rede privada e que nenhum dado será interceptado enquanto estiver passando pela
rede pública.
43
Ethical Hacking Essentials e
PenTest Essentials
Introdução a Ethical Hacking
45
Introdução a Ethical Hacking
• Crackers
• São os responsáveis pela criação dos cracks, ferramentas que quebram a ativação de um
software comercial, permitindo que qualquer pessoa tenha uma versão pirata do software
em seu computador.
• São responsáveis pelo prejuízo das empresas de software, e também por desenvolver vírus e
outras pragas como spywares e trojans.
• Defacer
• Pessoa responsável pela desfiguração de uma página.
46
Penetration Testing
• Penetration Testing
• Teste realizado por um hacker ético, cujo objetivo é tentar invadir um sistema, rede ou ambiente no qual se deseja
detectar falhas a fim de gerar um relatório indicando os problemas encontrados e as recomendações para corrigi-los.
• Tipos de Penetration Testing
• Black box
• Tipo de Penetration Testing no qual o auditor não possui qualquer conhecimento prévio sobre a estrutura, rede
ou sistema alvo.
• Também conhecido como “zero knowledge”.
• Simula um ataque hacker real.
• Tipos de Penetration Testing
• Gray box
• Tipo de Penetration Testing no qual o auditor possui conhecimento parcial da estrutura e da rede da empresa.
• Tipos de Penetration Testing
• White box
• Tipo de Penetration Testing no qual o auditor possui todo conhecimento necessário sobre a estrutura, rede ou
sistema alvo. 47
Penetration Testing
48
Penetration Testing
• Planejamento/Preparação
• Coleta de informações necessárias para realização do Penetration Testing (Reconnaissance).
• Os funcionários e clientes da empresa serão notificados a respeito da realização do teste?
• Quais são os resultados esperados?
• O teste será realizado durante o expediente?
• Quais sistemas serão testados?
• Definição do escopo e do objetivo do teste.
• Levantamento de informações (dispositivos de hardware, topologia da rede, sistemas
operacionais, etc...).
• Obtenção de permissão para realização do teste.
• É assinado um non-disclosure agreement (NDA), também chamado de acordo de
confidencialidade.
49
Penetration Testing
• Execução
• Etapa de realização do Penetration Testing propriamente dito.
• Identificação de vulnerabilidades e falhas de segurança.
• Pós-teste
• Elaboração de relatório
• Vulnerabilidades e falhas de segurança encontradas
• Análise de risco
• Matriz GUT
• Recomendações
50
Penetration Testing
• Etapas técnicas
• (1) Footprinting
• Refere-se a busca detalhada de informações iniciais sobre um determinado alvo.
• É o primeiro passo para uma intrusão bem-sucedida.
• Inclui recursos de mapeamento de redes e consulta a banco de dados whois (consulta de
informações sobre domínios) e nslookup (consultas DNS).
• OSINT (Open Source Intelligence) - coleta e análise de informações provenientes de fontes
abertas/públicas.
• Tem por objetivo descobrir:
• Faixa de endereços IP;
• Informações relacionadas à rede;
• Nomes e informações sobre funcionários;
• Documentos com informações úteis.
• Pode ser realizada de forma manual, automatizada ou por meio de consulta a sites de busca (Google e
archive.org).
• O site archive.org mantém um projeto chamado WayBack Machine que mantém versões antigas de
mais de 478 bilhões de páginas. 51
Penetration Testing
• Etapas técnicas (cont.)
• (2) Varredura
• É etapa de um Penetration Testing que tem objetivo identificar hosts ativos e portas
abertas na rede alvo.
• Consiste em efetuar buscas minuciosas em redes, com o objetivo de identificar
computadores ativos e coletar informações sobre eles como, por exemplo, serviços
disponibilizados e programas instalados.
• Pode se realizada manualmente ou por meio de ferramentas específicas chamadas de
Scanners.
52
Penetration Testing
53
Penetration Testing
• Etapas técnicas (cont.)
• (4) Procura por falhas e problemas
• Identificação de vulnerabilidades e falhas de segurança.
• Utilização de scanners.
54
Penetration Testing
• Etapas técnicas (cont.)
• (5) Utilização de métodos para burlar proteção
• Enganar o usuário
• Engenharia social
• Malwares
• Explorar falhas
• SQL Injection
• Cross Site Scripting
• Exploits
• Explorar má configuração
• Senhas fracas (Força Bruta)
• Sniffing
• Negação de serviço
• DoS e DDoS
55
Penetration Testing
Footprinting
Varredura
Enumeração
Procura por
Falhas e
Problemas
Métodos para
Burlar a
Proteção
Explorar má Negação de
Enganar usuário Explorar falhas
Configuração Serviço
Exploits 56
Análise de Vulnerabilidades
• Análise de vulnerabilidades
• Análise de vulnerabilidades consiste na verificação da existência de falhas de segurança no
ambiente analisado.
• O objetivo da análise de vulnerabilidades é verificar se o ambiente atual fornece condições
de segurança compatíveis com a importância estratégica dos serviços que fornece ou
desempenha.
57
Ataques
58
Spoofing
• Spoofing
• É a arte de criar endereços falsos e utilizá-los para diversos propósitos.
• Tipo de ataque no qual uma entidade impostora se faz passar por uma entidade verdadeira.
• Existem diversos tipos de ataques tipo spoofing:
• MAC Spoofing: personificação de um endereço MAC ou envenenamento de tabela do
switch.
• ARP Spoofing: envenenamento da tabela ARP.
• IP Spoofing: personificação de um endereço IP.
• DNS Spoofing: falsificação de traduções DNS.
59
Spoofing
• MAC Spoofing
• Técnica de ataque baseando-se no envenenamento de tabela do switch, permitindo ao
atacante receber pacotes direcionados a outra máquina.
• Funcionamento:
• Enviar ao switch um pacote ethernet falso com o endereço MAC da máquina vítima.
• ARP Spoofing
• Técnica de ataque de envenenamento da tabela ARP de uma máquina, permitindo ao
atacante receber pacotes direcionados a outra máquina.
• IP Spoofing
• Técnica de invasão onde o atacante finge ser outra máquina falsificando o seu endereço IP.
• Ataque simples de ser realizado principalmente se o impostor estiver na mesma rede IP da
máquina verdadeira.
• Diversos tipos de ataques usam o IP Spoofing, que é potencialmente perigoso em sistemas
que baseiam sua segurança em endereços IP.
60
Spoofing
• DNS Spoofing
• Tipo de ataque no qual uma entidade impostora se faz passar por uma entidade verdadeira,
enviando respostas falsas à requisições DNS legítimas.
• Programa para DNS Spoofing
• Necessita obter/concentrar os pacotes da rede, ou simplesmente realizar o “sniffing”.
• Quando observa uma requisição válida de DNS envia imediatamente uma resposta
contendo uma tradução falsa.
• (1) Cliente realiza requisição DNS;
• (2) Atacante envia uma resposta DNS falsa;
• (3) O servidor DNS envia a resposta. Porém ela será descartada pelo cliente;
• (4) O cliente contata o servidor falso.
61
Senhas
• Métodos para descobrir senhas
• Password guessing
• Tentativa de adivinhação de senhas.
• Engenharia social
• Uso da persuasão.
• Sniffers
• Dispositivo ou programa de computador utilizado para capturar e armazenar dados
trafegando em uma rede de computadores.
• Keyloggers
• Programas capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado do
computador.
• Força Bruta
• Tipo de ataque que consiste em adivinhar, por tentativa e erro, um nome de usuário e
senha.
62
Senhas
• Métodos para descobrir senhas (cont.)
• Man-in-the-middle
• Interceptação de dados.
• Ataque de dicionários
• O ataque de dicionários consiste em criar uma lista de palavras (wordlist) ou senhas muito
utilizadas e valer-se dessas informações.
• Rainbow Tables
• Uma tabela de consulta que relaciona strings com seus respectivos hashes.
63
Senhas
• Senhas mais utilizadas em 2020
64
Mecanismos de Segurança
• IDS
• Sistema que monitora e analisa eventos de uma rede a procura de indícios de
comportamento anômalo com o intuito de fornecer alertas em tempo real sobre acessos não
autorizados aos recurso da rede.
• Honeypots
• Sistema criado com objetivo de enganar um atacante e fazê-lo pensar que conseguiu invadir
o sistema, quando, na realidade, ele está em um ambiente simulado, tendo todos os seus
passos registrados.
• Ferramentas antimalware
• Ferramentas antimalware são aquelas que procuram detectar e, então, anular ou remover os
códigos maliciosos de um computador.
• Antivírus, antispyware, antirootkit e antitrojan são exemplos de ferramentas deste tipo.
65
Ferramentas
• Nmap (scanner de portas)
• https://nmap.org/
• Network protocol analyzer (analisador de protocolo utilizado para capturar tráfego de rede)
• Wireshark
• https://www.wireshark.org/
• Packet generator and analyzer
• hping
• http://www.hping.org/
• Kali Linux
• Distribuição Linux voltado para realização de Penetration Testing.
• Social Engineer Toolkit (SET)
• Ferramenta de código fonte aberto utilizada para realizar ataques de engenharia social durante os testes de invasão.
• https://www.social-engineer.org/framework/se-tools/computer-based/social-engineer-toolkit-set/
• Scanners
• GFI LanGuard
• http://www.gfi.com/products-and-solutions/network-security-solutions/gfi-languard
• Nessus (scanner de vulnerabilidades)
• http://www.tenable.com/products/nessus-vulnerability-scanner 66
Ferramentas
• Computação Forense é uma ciência que consiste em preservar, coletar e analisar evidências
digitais que possam fornecer informações sobre uso indevido ou abusivo de recursos
computacionais e que possuam valor probatório.
69
Introdução a Computação Forense
70
Introdução a Computação Forense
• Principais motivações
• Incidentes de segurança;
• Fraudes financeiras;
• Espionagem;
• Uso indevido de recursos;
• Violação de direito de propriedade intelectual;
• Pornografia infantil;
• Ameaças.
71
Introdução a Computação Forense
• Âmbito da investigação
• Extrajudicial
• Interna à uma organização privada;
• Interna à uma organização pública (sindicância);
• Fiscalização (realizada por órgão de fiscalização);
• Policial.
• Judicial (instrução probatória)
72
Normas
73
Conceitos gerais
• Termos e definições
• Adulteração - ato de deliberadamente realizar ou permitir alterações na potencial evidência
digital.
• Aquisição - processo de criação de cópia de dados de uma potencial evidência digital (por
exemplo, disco rígido completo, partição, arquivos selecionados) e documentação de
métodos usados e atividades realizadas.
• Cadeia de custódia - é o processo de documentar a história cronológica da evidência,
visando garantir o seu rastreamento em processos judiciais, registrar quem teve acesso ou
realizou o manuseio desta evidência.
• Coleta - processo no qual dispositivos que podem conter potencial evidência são removidos
de sua localização original para um laboratório ou outro ambiente controlado para posterior
aquisição e análise (recolhimento de itens físicos que contem potencial evidência digital).
• Dados não voláteis - dados que não se perdem quando um equipamento (exemplo
computador) é desligado ou mediante interrupção de energia.
• Dados voláteis - dados que são propensos a alteração e que podem ser facilmente
modificados ou apagados.
74
Conceitos gerais
• Termos e definições
• Espoliação - diminuição do valor probatório da evidencia digital por conta de adulteração ou
manuseio inadequado.
• Evidência digital - informações ou dados, armazenados ou transmitidos em forma binária,
que podem ser utilizados como evidência de um crime.
• Função de verificação (função hash) - função que é usada para verificar se dois conjuntos de
dados são idênticos. Exemplo: MD5, SHA-1.
• Identificação - processo envolvendo a busca, reconhecimento e documentação da
potencial evidência digital.
• Instalações de preservação de evidências - ambiente seguro ou local onde as evidências
coletadas são armazenadas.
• Laudo pericial - é o relatório final da perícia, que deverá conter a exposição do objeto da
perícia, a análise técnica ou científica realizada pelo perito, a indicação do método utilizado e
a conclusão.
75
Conceitos gerais
• Termos e definições (cont.)
• Mídia de destino - mídia que receberá a cópia da mídia de provas, ou onde uma imagem
pericial é restaurada.
• Mídia de provas - mídia digital original, foco da perícia, onde se encontram evidências de um
crime.
• Preservação - processo para manter e proteger a integridade e/ou a condição original da
potencial evidência digital e do dispositivo que a contêm contra espoliação ou adulteração.
• Repetibilidade - propriedade de um processo conduzido para se obter os mesmos resultados
em um mesmo ambiente de teste (mesmo computador, disco rígido, etc...).
• Reprodutibilidade - propriedade de um processo para se obter os mesmos resultados em um
ambiente de teste diferente (diferente computador, disco rígido, etc...).
76
Conceitos gerais
77
Conceitos gerais
• Origem das informações
• Computadores
• Conteúdos de disco rígidos;
• Mídias ópticas (CDs, DVDs e Blu-Rays);
• Fitas;
• Cartões de memória e pen-drives;
• Informações preservadas registry (Windows);
• Smartphones e PDAs;
• Câmeras.
• Logs
• Computadores;
• Roteadores;
• Firewalls;
• Servidores ;
• Provedores de Internet.
• Sniffers
78
Locais de crime envolvendo equipamentos computacionais
79
Locais de crime envolvendo equipamentos computacionais
80
Locais de crime envolvendo equipamentos computacionais
81
Fases do exame forense em dispositivos de armazenamento
Fase 1 - Preservação
• Consiste em garantir que as informações armazenadas nos equipamentos computacionais não sofram alterações.
Devido à fragilidade e sensibilidade das mídias de armazenamento computacional, os exames forenses devem,
sempre que possível, ser realizados em cópias obtidas à partir do material original.
• Espelhamento
• O espelhamento é uma técnica que consiste na cópia exata e fiel dos dados (bit a bit) contidos em um
dispositivo de armazenamento para outro. É necessário que exista um dispositivo a ser copiado (material
questionado) e um para receber a cópia (destino).
• Imagem
• Semelhante ao espelhamento, mas ao invés de copiar os dados bit a bit, os dados são copiados para
arquivos.
• Equipamentos forenses mais utilizados em duplicação de mídias
• Bloqueadores de escrita de disco rígido
• São dispositivos mais comuns e simples de serem utilizados. Garante que nenhum dado será escrito
no disco rígido questionado, de forma a disponibilizá-lo somente como leitura.
• Duplicadores forenses
• São equipamentos mais avançados e, além de realizarem bloqueio de escrita em disco rígidos,
também permitem a realização de cópias (espelhamento ou imagem) para outros discos rígidos.
82
Fases do exame forense em dispositivos de armazenamento
Fase 2 – Extração
• A fase de extração de dados consiste basicamente na recuperação de todas as informações
contidas na cópia de dados provenientes da fase de preservação. Vale lembrar que o material
original (questionado) foi copiado, lacrado e guardado em lugar adequado, e todos os
procedimentos serão realizados na cópia (espelho ou imagem).
• Os principais procedimentos utilizados na fase de extração são:
• Recuperação de arquivos apagados.
• Indexação de dados.
83
Fases do exame forense em dispositivos de armazenamento
Fase 3 – Análise
• A análise de dados é a fase que consiste no exame das informações extraídas na fase anterior, a
fim de identificar evidências digitais presentes no material examinado, que tenham relação direta
com o delito investigado.
• Em alguns casos, um disco rígido com capacidade de 200 GB, que é considerado pequeno para os
padrões atuais, pode conter mais de 1 milhão de arquivos.
• As principais técnicas utilizadas na fase de análise são:
84
Fases do exame forense em dispositivos de armazenamento
Fase 4 – Formalização
• É a fase final dos exames forenses e consiste na elaboração do laudo pelo perito, apontando o
resultado e apresentando as evidências digitais encontradas nos materias examinados.
• Estrutura do laudo
• Preâmbulo: identificação do laudo.
• Material: descrição detalhada do material examinado no laudo. A descrição do material deve
ser minuciosa, incluindo tipo, marca, modelo, número de série, cor, estado de conservação,
capacidade, país de fabricação e outras características importantes.
• Objetivo: objetivo do laudo.
• Considerações técnicas (opcional): conceitos e informações importantes para o entendimento
do laudo.
• Exames: é a principal seção do laudo. Deve detalhar todos os procedimentos, técnicas e
métodos utilizados pelo perito para a localização das evidências. O perito pode escrever as
técnicas de preservação e de recuperação de dados utilizadas e detalhar as etapas realizadas
para obtenção das evidências encontradas.
• Respostas aos quesitos: resumo objetivo dos resultados obtidos. 86
Principais desafios
• Quantidade de arquivos
• O volume de dados dificulta o processamento. Um disco de 200 GB pode conter facilmente
mais de 1 milhão de arquivos.
• Existência de senhas
• Durante a realização de exames forenses é comum se deparar com arquivos e programas
protegidos por senha. Neste caso, é necessário que o perito conheça as principais técnicas
para quebrar senhas.
• Ataque de força bruta
• Consiste em tentar descobrir a senha de um arquivo por meio do processo de
tentativa e erro.
• Ataque de dicionário
• Uso de lista de palavras. Em muitos casos, é possível utilizar combinação de
palavras.
• RainBow Tables
• Uso de tabelas pré-compiladas de hashes.
87
Principais desafios
• Uso de criptografia
• Buscar por programas de criptografia que estejam instalados no próprio equipamente
analisado, de modo a tentar determinar o algoritimo utilizado ou, até mesmo, utilizar o
próprio software para decodificar o conteúdo do arquivo.
• Uso de esteganografia
• Técnica que consiste em ocultar uma mensagem dentro de outra. Caso o perito não descubra
a técnica utilizada para ocultar a mensagem, uma alternativa é verificar a existência de
softwares específicos instalados no dispositivo examinado.
88
Principais ferramentas
• WinHex: Computer Forensics & Data Recovery Software, Hex Editor & Disk Editor
• https://www.x-ways.net/winhex/
• Ontrack EasyRecovery
• https://www.krollontrack.com/products/data-recovery-software/
90
Referências bibliográficas
• ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001.
• ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002.
• ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27032.
• ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27037.
• ASSUNÇÃO, Marcos F. A. Segredos do Hacker Ético. 5. ed. Florianópolis: Visual Books, 2014.
• CAMPOS, André. Sistema de segurança da informação: controlando os riscos. 2. ed. São Paulo: Visual Books,
2007.
• CARTILHA DE SEGURANÇA PARA INTERNET – Cert.br. Disponível em http://cartilha.cert.br/
• ELEUTÉRIO, Pedro M. S.; MACHADO, Marcio P. Desvendando a computação forense. 1. ed. São Paulo:
Novatec, 2011.
• FARMER, D; VENEMA, W. Perícia Forense Computacional. 1. ed. São Paulo: Pearson Brasil, 2006.
• MELO, Sandro. Exploração de Vulnerabilidades em Redes TCP/IP. 3. ed. Rio de Janeiro: Alta Books, 2017.
• SÊMOLA, Marcos. Gestão de Segurança da Informação - Uma visão executiva. 2. ed. Rio de Janeiro: Elsevier,
2013.
91