Cybersecurity: Rafael Santos

Cybersecurity
Cybersecurity
Rafael Santos
Rafael Santos
Código Logístico ISBN 978-85-387-6485-4
I0 0 0 2 5 9 9 788538 764854
Cybersecurity
Rafael Santos
IESDE BRASIL
2021
© 2021 – IESDE BRASIL S/A.
É proibida a reprodução, mesmo parcial, por qualquer processo, sem autorização por escrito do autor e do
detentor dos direitos autorais.
Projeto de capa: IESDE BRASIL S/A. Imagem da capa: ofeerv/imageflow/Supphachai Salaeman/Shutterstock
CIP-BRASIL. CATALOGAÇÃO NA PUBLICAÇÃO

SINDICATO NACIONAL DOS EDITORES DE LIVROS, RJ
S238c
Santos, Rafael
Cybersecurity / Rafael Santos. - 1. ed. - Curitiba [PR] : Iesde, 2021.
70 p. : il.
Inclui bibliografia
ISBN 978-85-387-6485-4
1. Segurança do computador. 2. Redes de computadores - Medidas

de segurança. 3. Proteção de dados. I. Título.
CDD: 005.8
21-74507
CDU: 004.056.5
Todos os direitos reservados.
IESDE BRASIL S/A.

Al. Dr. Carlos de Carvalho, 1.482. CEP: 80730-200
Batel – Curitiba – PR
0800 708 88 88 – www.iesde.com.br
Rafael Santos Graduado em Sistema de Informação pela Faculdade
Impacta de Tecnologia, Pós Graduado em Governança
de TI pelo Centro Universitário Sumaré e Mestre em
Ciência da Computação pela FACCAMP. Há 15 anos atua
como consultor de Segurança Cibernética com ampla
experiência em Administração de Servidores e Redes
de Computadores, Cloud Computing, Cibersegurança,
Pentest e Pesquisa de Vulnerabilidades.
Vídeos
em
QR code!
Agora é possível acessar os vídeos do livro por
meio de QR codes (códigos de barras) presentes
no início de cada seção de capítulo.
Acesse os vídeos automaticamente, direcionando

a câmera fotográfica de seu smartphone ou tablet
para o QR code.
Em alguns dispositivos é necessário ter instalado

um leitor de QR code, que pode ser adquirido
gratuitamente em lojas de aplicativos.
SUMÁRIO
1 Introdução à segurança cibernética 9
1.1 Dados pessoais 10
1.2 Dados organizacionais 11
1.3 Invasores 16
1.4 Guerra cibernética (cyber war) 18
2 Conceitos de técnicas e ataques 22

2.1 Análise de um ataque cibernético 22
2.2 Tipos de vulnerabilidades de segurança 24
2.3 Tipos de malware e sintomas 26
2.4 Métodos de infiltração 29
2.5 Negação de serviço 30
3 Proteção e privacidade de dados 33

3.1 Como proteger a rede e os dispositivos 33
3.2 Manutenção de dados 37
3.3 Como proteger a privacidade on-line 40
4 Proteção empresarial 43
4.1 Tipos de firewall 44
4.2 Detecção de malware 45
4.3 Botnet 48
4.4 Kill Chain 48
4.5 Segurança comportamental 50
4.6 Segurança cibernética empresarial 51
5 Futuro da área de cibersegurança 56

5.1 Leis de proteção de dados 56
5.2 Certificações e carreiras de segurança da informação 62
Resolução das atividades 67

APRESENTAÇÃO
Vídeo
Ao longo dos últimos anos, é notória a crescente
preocupação expressada por diferentes especialistas com
relação à necessidade de proteção de sistemas de tecnologia da
informação e comunicação (TIC) contra os ataques cibernéticos.
Esses ataques podem ser definidos como tentativas deliberadas,
por parte de pessoas não autorizadas, de obter acesso aos sistemas,
geralmente com o objetivo de “roubo”, destruição ou prática de
outros tipos de ações danosas ou ilegais. Cybersecurity é um termo
amplamente utilizado, com definições muito diversificadas e, por
vezes, até subjetivas e pouco informativas. No entanto, entre
suas definições, cybersecurity implica a salvaguarda das redes de
computadores e das informações nelas contidas contra intrusão,
danos ou descontinuidades, além de envolver a redução do risco
de ataques a softwares, computadores e redes. Logo, algumas
ferramentas são utilizadas a fim de detectar invasões, conter vírus,
impedir acessos maliciosos, forçar autenticação, usar criptografia
e assim por diante.
Dessa maneira, esta obra foi criada para ajudar você a concluir
que o conceito de cybersecurity é mais abrangente do que apenas
soluções tecnológicas, englobando, também, entre outros aspectos,
gestão, gerenciamento de riscos e continuidade de negócio.
No primeiro capítulo desta obra, você irá aprender a
reconhecer as características da segurança de rede, por qual
razão a demanda por profissionais de segurança cibernética
continua crescendo e quão vulneráveis aos cibercriminosos são
as identidades ou os IDs on-line e os dados pessoais. Além disso,
será possível entender a guerra cibernética e por que os países
e governos precisam de profissionais de segurança cibernética
para proteger seus cidadãos e sua infraestrutura.
Com o estudo do segundo capítulo, você será capaz
de compreender a análise de um incidente após o ataque
cibernético, entender o que são vulnerabilidades de segurança
e as suas diferentes categorias, identificar as diferenças entre os
tipos de malware e seus sintomas, bem como interpretar as várias maneiras
de os invasores se infiltrarem em uma rede de computadores.
Já no terceiro capítulo, você irá aprender sobre os dispositivos de proteção,
como firewall, antivírus e demais pontos de configuração segura para redes
empresariais e domésticas em meios sem fio, por exemplo. Ainda, poderá
verificar o uso de senhas seguras e a importância do backup e da privacidade.
A proteção empresarial será o foco do quarto capítulo, conhecendo as
tecnologias utilizadas por profissionais de cibersegurança e como proteger
a infraestrutura, de modo a entender as principais, como botnet, a cadeia de
ataque Cyber Kill Chain e os seus devidos comportamentos.
Chegando ao quinto capítulo, finalizamos com um tema que atualmente é
considerado o novo petróleo digital: os dados pessoais de qualquer indivíduo.
Hoje, no Brasil, temos as leis de proteção de dados, sobretudo a LGPD, a qual
iremos entender para que serve e como funciona.
1
Introdução à segurança
cibernética
Objetivos de aprendizagem
Com o estudo deste capítulo, você será capaz de:
• reconhecer as características da segurança de rede, por que
a demanda por profissionais de segurança cibernética conti-
nua crescendo e quão vulneráveis são
as identidades, ou IDs,
on-line e os dados pessoais aos cibercriminosos;
• entender a guerra cibernética e por que os países e governos
precisam de profissionais de segurança cibernética para pro-
teger seus cidadãos e sua infraestrutura.
Um invasor quer entender a topologia da sua rede e principalmente

a conectividade com a internet (DMZ, perímetro de redes e intranet). O
layout dos roteadores e hosts pode mostrar vulnerabilidades ao inva-
sor ou pelo menos deixar que ele saiba onde as coisas estão. Principal
fator financeiro, assim como alvo de espionagem, os dados são a nova
moeda digital, geralmente administrada por criminosos e grupos de
ataques cibernéticos bem financiados e organizados. Uma estratégia
cibernética é uma abordagem documentada para vários aspectos do
ciberespaço. A principal necessidade de seu desenvolvimento é o foco
no atendimento às regras e demandas de segurança cibernética de
uma entidade, abordando como os dados, as redes, os sistemas técni-
cos e as pessoas serão protegidos.
Uma estratégia cibernética eficaz é normalmente compatível com o ris-
co de segurança cibernética de exposição de uma entidade. Ela abrange
todos os cenários de ataque possíveis direcionados por partes maliciosas.
A segurança cibernética tem assumido o papel central na maioria das estra-
tégias porque as ameaças cibernéticas estão continuamente se tornando
mais avançadas conforme melhores ferramentas e técnicas de exploração
são disponibilizadas aos atores da ameaça.
Introdução à segurança cibernética 9

1.1 Dados pessoais
Vídeo
Podemos definir um dado pessoal como qualquer informação de
um sujeito que possa o identificar no mundo real ou virtual. Esse dado
pode ser correlacionado, tornando-se uma informação pessoal e vali-
dando unicamente um usuário ou uma pessoa. Os dados podem incluir
uma infinidade de itens, como fotos em mídias sociais, voz ou até mes-
mo comportamento por meio de dados biométricos.
1.1.1 Sua identidade

Em todos os serviços on-line acessados pela internet que utili-
zamos, há métodos de identificação. Por exemplo, empresas como
Netflix, Amazon, Gmail e Outlook necessitam de uma identidade,
ou ID, para permitir que o usuário possa usar o serviço. Já na vida
real, no dia a dia, indo ao shopping de transporte público ou carro,
as pessoas portam certos documentos que contêm dados de sua
“vida off-line”, como carteira de identidade (RG) ou carteira de mo-
torista (CNH).
O ID também pode ser chamado de nickname ou profile, forma

na qual o usuário aparece para os seus amigos e colegas quando
está jogando um jogo ou utilizando uma mídia social, por exemplo.
Ou seja, o ID on-line deve relevar uma quantidade finita de informa-
ções sobre quem o usuário é ou do que ele gosta, e não exatamente
quem ele é. Tecnicamente falando, não deve correlacionar o usuário
on-line ao off-line.
As principais perguntas que devemos nos fazer são: existem leis de

privacidade e proteção de dados no Brasil? As empresas seguem essas
leis? Os dados estão protegidos? Quando andamos pela rua ou esta-
mos em uma loja, os dados gerados pelo nosso comportamento estão
sendo gravados? Para que fins eles serão utilizados? Essas informações
podem ser repassadas para outras empresas?
Embora a autenticação multifator esteja ganhando popularidade,

ainda não é o método padrão usado para autenticar usuários. Além
disso, existem muitos sistemas legados que dependem exclusivamente
de nomes de usuário e senhas para funcionar corretamente.
10 Cybersecurity
O roubo de credenciais é uma tendência crescente em diferentes
cenários, como:
• Usuários corporativos: hackers tentando obter acesso a uma
rede corporativa e infiltrar-se sem fazer barulho. Uma das me-
lhores maneiras de fazer isso é usando credenciais válidas para
autenticar e fazer parte da rede.
• Usuários domésticos: muitos cavalos de Troia bancários, como
a família dridex, ainda estão ativamente em uso, pois visam às
credenciais bancárias do usuário, e é aí que está o dinheiro.
O problema do cenário atual de ameaças de identidade é que

os usuários domésticos também são corporativos e estão usando
seus próprios dispositivos para consumir dados empresariais. Ve-
mos que a identidade de um usuário para seu aplicativo pessoal
reside no mesmo dispositivo de suas credenciais corporativas em
uso para acessar dados relacionados à empresa. O problema dos
usuários que lidam com várias credenciais é que podem utilizar a
mesma senha para serviços diferentes. Por exemplo, um usuário que
usa a mesma senha para seu serviço de e-mail pessoal com base em
nuvem e credenciais de domínio corporativo ajudará os hackers, que
só precisam identificar o nome de usuário e quebrar uma senha para
acessar ambos os domínios.
Hoje em dia, os navegadores são a principal plataforma para os

usuários consumirem aplicativos, e as vulnerabilidades de um navega-
dor podem ser exploradas para roubar credenciais. Embora o problema
pareça estar relacionado principalmente a usuários finais e empresas,
a realidade é que ninguém está seguro e qualquer um pode ser visado.
1.2 Dados organizacionais

Vídeo
Os dados de uma empresa ou organização incluem cadastro de fun-
cionários, propriedade intelectual e informações contábeis. Os dados
dos funcionários referem-se a documentos de candidatura, salários,
convites, contratos e quaisquer informações usadas para tomar de-
cisões de contratação. A propriedade intelectual, como logotipos, có-
digos de sistemas e planos de novos produtos, dá às empresas uma
vantagem econômica sobre seus concorrentes.

1.2.1 Dados corporativos
Vários tipos de propriedade intelectual são considerados segre-
do comercial, e a perda de informações pode ser um desastre para
o futuro de uma empresa. Informações financeiras e de produtos,
estratégias de campanhas de marketing e demonstração de fluxo de
retorno de uma empresa fornecem informações sobre a integridade
de um negócio.
Segundo McClure, Scambray e Kurtz (2012), a sigla CID para confiden-

cialidade, integridade e disponibilidade é utilizada como patamar e pilar
da segurança da informação, conforme ilustrado na figura a seguir.
Figura 1
CID
Disponibilidade
Segurança dos
dados
Confidencialidade Integridade
Fonte: McClure; Scambray; Kurtz, 2012.
Também entendemos a confidencialidade como privacidade. Ela

define como uma organização pode, por exemplo, limitar o acesso às
informações apenas a pessoas autorizadas, indicar como os dados po-
dem ser segmentados de acordo com o nível de segurança das informa-
ções e definir quais programas não devem ser acessados por um grupo
de funcionários. A implementação da cultura de confidencialidade
inicia com um treinamento das melhores práticas de proteção de in-
formações, entendendo os métodos para garantir a segurança, o que
inclui, por exemplo, criptografia de dados, IDs de usuários e senhas,
2FA e divulgação reduzida de informações.
12 Cybersecurity
A integridade é a forma como os hackers comprometem os siste-
mas, manipulando dados em vez de excluí-los ou liberá-los. Isso ocorre
porque os ataques prejudicam a integridade dos dados da vítima.
A disponibilidade são todos os controles e a mitigação de riscos,

como manutenção, atualização, reparos de hardware ou software, sis-
tema operacional e backups. Trata-se da rápida recuperação de um in-
cidente cibernético para manter a disponibilidade do ambiente e sua
execução sem afetar o usuário.
1.2.2 Impactos, violações e exemplos

Por vários motivos, é impossível proteger uma empresa de todos
os ataques cibernéticos. O conhecimento necessário para configurar
e manter a rede segura pode ser caro, e os invasores sempre encon-
trarão novos meios de alcançar a rede e executar ataques cibernéticos
avançados, direcionados e bem-sucedidos. Portanto, a prioridade é a
rapidez com que as equipes de segurança podem responder a ataques
e minimizar a perda de dados, o tempo de inatividade e a receita. Se o
servidor for hackeado, informações confidenciais dos funcionários po-
dem ser expostas. Hackers (ou grupos de hackers) podem atrapalhar
o site de uma empresa, publicando informações falsas e destruindo a
reputação que ela construiu ao longo dos anos.
Os hackers também podem derrubar o site de uma empresa e per-

der a sua receita. Se o site ficar inativo por muito tempo, a empresa
pode tornar-se indigna e não confiável; já se o site ou a rede for compro-
metido, documentos sensíveis, segredos de estratégias e propriedade
intelectual podem ser divulgados. A perda de todas essas informações
pode prejudicar o crescimento de um negócio.
O custo monetário de uma violação é muito maior do que sim-

plesmente substituir um dispositivo perdido ou roubado, investir
na segurança existente ou melhorá-la. A empresa é responsável por
entrar em contato com todos os clientes afetados pela violação, po-
dendo ter que preparar um processo. Nessa turbulência, os funcio-
nários podem optar por sair da instituição. A empresa também pode
precisar se concentrar em restaurar a reputação em vez de crescer.

Em julho de 2015, o LastPass – um gerenciador de senhas on-line –
detectou atividade de rede anômala (ROBOT, 2015). Felizmente, o hacker
não conseguiu obter a senha criptografada de nenhum usuário.
O LastPass pode proteger as informações de uma conta no caso de

uma violação de segurança. Ele requer a autenticação por e-mail ou
multifator sempre que o usuário tiver novas informações de login de
um dispositivo ou endereço IP desconhecido. Os hackers também pre-
cisam de uma senha mestra para acessar suas contas.
Os usuários do LastPass são responsáveis por proteger suas pró-

prias contas. Eles sempre devem usar senhas mestras fortes e alterá-las
regularmente, bem como estar atentos a ataques de phishing. Um
exemplo de ataque de phishing é um invasor que envia um e-mail falso
alegando ser do LastPass. O e-mail solicita que o usuário altere sua
senha clicando no link enviado, o qual levará à versão maliciosa do site,
usada para roubar a senha mestra. O usuário também deve estar cien-
te dos prompts de senha, que não podem informar qual é a senha,
e, ainda mais importante, deve habilitar a autenticação multifator em
qualquer site, se aplicável.
Se os usuários e provedores de serviço usarem ferramentas e pro-

cedimentos apropriados para proteger as informações, podem prote-
ger os dados no caso de uma violação de segurança.
Uma violação pode afetar milhões de clientes em todo o mundo,

incluindo crianças. Em novembro de 2015, a fabricante de brinquedos
de alta tecnologia Vtech sofreu uma violação do banco de dados que
expôs informações confidenciais, como nomes de clientes, endereços
de e-mail, senhas, fotos e logs de chat (POZZEBOM, 2015).
Os tablets de brinquedo tornaram-se um novo alvo para os hackers.

Os clientes compartilharam fotos e usaram o recurso de bate-papo na
prateleira de brinquedos, porém as informações não eram protegidas
de maneira adequada, e o site da empresa não oferecia suporte para
comunicação SSL segura. A violação de informações não revelou da-
dos de cartão de crédito ou identificação pessoal, mas as preocupações
sobre a violação impediram a empresa de vender suas ações. A Vtech
informou aos clientes que havia hash nas senhas, mas que um hacker
poderia quebrá-las.
As senhas do banco de dados são criptografadas usando hashes

MD5, mas as perguntas e respostas de segurança são armazenadas em
14 Cybersecurity
texto simples. Infelizmente, o MD5 tem uma vulnerabilidade conheci-
da, e os hackers podem determinar a senha original comparando mi-
lhões de hashes pré-calculados.
As informações divulgadas na violação de dados podem permitir

que os cibercriminosos as usem para criar contas de e-mail, obter cré-
ditos e cometer crimes rapidamente. Os cibercriminosos podem assu-
mir o controle das contas on-line à medida que mais pessoas reutilizam
as senhas em diferentes sites e contas. Uma violação de segurança não
afeta apenas a privacidade, mas também o impedimento de o cliente
negociar em uma bolsa, por exemplo.
Para os pais, esse é um aviso para prestarem mais atenção à pri-

vacidade on-line de seus filhos, exigindo produtos mais seguros. Os
fabricantes de produtos de rede precisam proteger a privacidade e os
dados do cliente mais de perto hoje e no futuro, à medida que a situa-
ção de ataque cibernético evolui.
Quando pensamos em uma violação de dados, existe uma associa-

ção entre o ator da ameaça, seus motivos e seu modus operandi, que
varia de acordo com a indústria. No entanto, verificamos que creden-
ciais roubadas são o vetor de ataque preferido para a motivação finan-
ceira ou o crime organizado. Esses dados são muito importantes, pois
mostram que os agentes de ameaças estão perseguindo as credenciais
dos usuários, o que leva à conclusão de que as empresas devem se
concentrar especificamente na autenticação dos usuários e seus direi-
tos de acesso, bem como na sua autorização.
A identidade de um usuário é o novo perímetro. Isso requer con-

troles de segurança projetados especificamente para autenticar e
autorizar indivíduos com base em seu trabalho e na necessidade de
dados específicos na rede. O roubo de credenciais pode ser apenas o
primeiro passo para permitir que os cibercriminosos tenham acesso
a um sistema. Ter uma conta de usuário válida na rede permitirá que
eles se movam lateralmente (pivô) e, em algum ponto, encontrem a
oportunidade certa para escalar privilégios para uma conta de admi-
nistrador de domínio. Por esse motivo, aplicar o antigo conceito de
defesa em profundidade ainda é uma boa estratégia para proteger a
identidade de um usuário.
Aplicativos, ou apps, são o ponto de entrada para o usuário consu-

mir dados e transmitir, processar ou armazenar informações no siste-

ma. Os aplicativos estão evoluindo rapidamente, e a adoção daqueles
com base em SaaS está aumentando. No entanto, existem problemas
herdados dessa amálgama de aplicativos, como:
• Segurança: quão seguros são os aplicativos desenvolvidos inter-
namente pelos quais você está pagando como um serviço?
• Aplicativos da empresa versus aplicativos pessoais: os usuários
terão seu próprio conjunto de aplicativos em seus próprios dispo-
sitivos. Como esses aplicativos prejudicam a postura de segurança
da empresa e podem levar a uma potencial violação de dados?
Empresas que têm uma equipe de desenvolvedores construindo

aplicativos internamente devem tomar medidas para garantir que es-
tejam usando uma estrutura segura em todo o ciclo de vida de desen-
volvimento do software.
1.3 Invasores
Vídeo
Um invasor é um indivíduo ou grupo que tenta explorar uma vul-
nerabilidade para obter ganhos pessoais ou financeiros. Os invaso-
res estão interessados em tudo, desde cartões de crédito até design
de produtos e qualquer coisa de valor. A seguir veremos alguns tipos
de atacantes.
1.3.1 Tipos
Script kiddie são pessoas às vezes consideradas hackers inex-
perientes. Geralmente são atacantes com pouca ou nenhuma ha-
bilidade especializada que costumam lançar ataques usando as
ferramentas e os tutoriais mais recentes disponíveis na internet.
Alguns são curiosos, enquanto outros tentam provar sua perícia e
causar danos. Por mais que usem ferramentas básicas, os resulta-
dos ainda podem ser catastróficos.
Os ataques são realizados com permissão e todos os resultados

são relatados ao proprietário. Há três tipos de intrusos: os “maus”
(chapéus pretos), que exploram a vulnerabilidade para ganhos
pessoais, econômicos ou políticos, os “bons“ (chapéus brancos) e os
suspeitos (chapéus cinzas), que estão em algum lugar entre um in-
16 Cybersecurity
truso “bom” e um intruso “mau” (Figura 2). Um invasor usando um
chapéu cinza pode encontrar vulnerabilidades no sistema.
Figura 2
Chapéus preto e branco
Dari delcarmat/Shutterstock
Grupos de hackers ou hacktivistas incluem cibercriminosos,
ciberativistas, terroristas e hackers patrocinados pelo Estado. Os ci-
bercriminosos são geralmente grupos criminosos profissionais fo-
cados no controle, no poder e na riqueza. São muito sofisticados e
organizados e podem até fornecer serviços de crime cibernético a
outros criminosos. Já os ciberativistas emitem declarações políticas
para aumentar a conscientização das questões que os afetam. Os in-
vasores patrocinados pelo Estado, por sua vez, coletam informações
e sabotam em nome do governo. Costumam ser altamente qualifica-
dos e bem pagos e seus ataques concentram-se em alvos específicos
que beneficiam o governo.
Os ataques visam à melhor forma de explorar os alvos interna ou

externamente. Em se tratando de ameaças à segurança interna,
insiders, como funcionários e parceiros contratuais, podem inconscien-
te ou conscientemente:
• abusar de dados confidenciais;
• ameaçar a operação de servidores da rede de dispositivos;
• facilitar ataques externos de infecção a sistemas corporativos
via USB;
• executar malwares por engano.

Não é muito fácil definir risco e ameaça. Segundo a ISO 31000
(ABNT, 2018), um risco é o “efeito da incerteza nos objetivos” e “um
efeito é um desvio em relação ao esperado”, podendo ser positivo ou
negativo. A palavra risco combina três elementos: começa com um
evento potencial e, em seguida, relaciona sua probabilidade com sua
gravidade potencial, isto é: risco (perda potencial) = ameaça x vulne-
rabilidade x ativo.
Por fim, ameaças à segurança externa são constituídas de inva-

sores profissionais ou amadores que podem explorar vulnerabilidades
em redes e dispositivos de computação.
1.4 Guerra cibernética (cyber war)

Vídeo
O ciberespaço tornou-se outro aspecto importante da guerra. Nele,
as nações podem entrar em conflito sem tropas e máquinas tradicio-
nais. Portanto, um país com uma presença militar mínima é tão pode-
roso quanto qualquer outro no ciberespaço.
Um exemplo de ataque patrocinado por um país incluiu o malware

stuxnet. Ele é projetado para danificar equipamentos físicos contro-
lados por um computador e usa criptografia modular programada
para executar certas atividades maliciosas. O malware projetado para
destruí-lo não atacou o computador de destino para roubar informa-
ções. O certificado digital roubado foi usado para fingir que o ataque
era legítimo para o sistema (HAMMAN, 2010).
O principal objetivo da guerra cibernética é entender que a inteli-

gência de ameaças nem sempre está disponível em um único local. É
possível ter diferentes feeds de dados que serão aproveitados como
fonte para compor a inteligência de ameaças.
Um país pode invadir continuamente a infraestrutura de outro

e roubar segredos nacionais. A coleta de informações de defesa e
tecnologia pode preencher lacunas nas disciplinas de uma nação e
no campo militar. Além das espionagens industrial e militar, a guerra
cibernética pode destruir a infraestrutura de outros países e aca-
bar com a vida dos que estão sob ataque. Por exemplo, um ataque
pode interromper a rede elétrica de uma grande cidade, causando
engarrafamentos, interrupção na troca de bens e serviços, impedi-
mento de atendimento a pacientes que precisam de cuidados em
18 Cybersecurity
uma emergência e falta de acesso à internet. Ao atacar a rede elétri-
ca, o ataque pode atrapalhar o dia a dia da população.
Além disso, se dados confidenciais vazarem, um hacker pode

chantagear pessoas. As informações permitem que um hacker se
passe, por exemplo, por um funcionário autorizado a acesse infor-
mações confidenciais.
As guerras cibernéticas podem desestabilizar um país, afetar o co-

mércio e minar a confiança da população no governo.
1.4.1 Stuxnet
Os sistemas SCADA são amplamente utilizados em controle indus-
trial, como sistemas de energia, água e esgoto, bem como nas áreas de
telecomunicações e refino de petróleo. O primeiro conhecido do stuxnet
foi a empresa de antivírus VirusBlokAda Ltd., com sede na Bielorrússia.
Isso remonta a 2010, quando Sergey Ulasen, chefe de desenvolvimento
de antivírus, detectou e caracterizou o malware (HAMMAN, 2010).
No início, o propósito não foi totalmente compreendido, mas clara-

mente seu design era complexo e provavelmente não poderia ter sido
criado sem uma equipe de programadores experientes fazendo um
trabalho mensal. O stuxnet possui três códigos distintos. A primeira
parte, desde Malware, foi notada e comentada pela VirusBlokAda Ltd.,
que descobriu duas amostras que exploravam vulnerabilidades an-
teriormente desconhecidas, as quais podiam afetar um computador
Windows 7 totalmente atualizado. No entanto, esse ataque é mais do
que o primeiro visto pela empresa. O stuxnet contém um código que
define o software utilizado na geração e execução das instruções do
controlador lógico programável (CLP) criadas pelo fabricante alemão
Siemens AG. O malware foi detectado atacando PLCs, mas essa era a
primeira instância de um rootkit em execução em um PLC.
Um controlador lógico automatiza as partes mais importantes

dos processos de uma planta industrial, como temperatura, pressão,
água, produtos químicos e fluxo de gás. No caso do stuxnet, o malware
infectou o sistema de controles programáveis lógicos da Siemens usa-
dos na centrífuga da usina, o que foi o suficiente para causar danos
físicos. Os pesquisadores que examinaram os componentes e as técni-
cas usados no stuxnet acreditaram que o trabalho no desenvolvimento
dos ataques começou por volta de 2006. O primeiro ataque teve como

alvo as instalações de Natanz. O stuxnet usou uma série de ataques em
vários estágios. Ele extraiu arquivos do Windows e os transferiu para
dispositivos de armazenamento removíveis, como drives USB. Também
usou quatro bugs de dia zero da Microsoft, até então desconhecidos,
para obter acesso a laptops e a outras máquinas para acessar a rede.
Em resposta, a Microsoft lançou duas correções, e especialistas em
segurança SCADA criaram uma lista de recomendações oficiais para
a instalação usando sistemas SCADA. O código stuxnet consiste em
um certificado digital roubado. Esse é apenas um malware que pare-
ce legítimo e pode contornar a detecção de intrusão (IDS) de sistemas
tradicionais. Após o advento do stuxnet, os pesquisadores começa-
ram a crackear o malware imediatamente. É amplamente aceito que
o stuxnet foi projetado para espionagem e causou problemas com a
infraestrutura da centrífuga usada para concentrar urânio de grau mili-
tar na sua fábrica no Irã, em Natanz.
Relatórios subsequentes estimam que cerca de um quinto das cen-

trífugas usadas em Natanz foi colocado off-line por malware. Como o
alvo do ataque foi a usina nuclear de Natanz, no Irã, não é surpresa
que o país tenha o maior número de computadores infectados, de
acordo com estatísticas do primeiro relatório da Symantec (FALLIERE;
MURCHU; CHIEN, 2010).
CONCLUSÃO
Neste capítulo definimos os detalhes da segurança cibernética, fican-
do evidente como a necessidade de profissionais nessa área cresce a
cada dia. Aprendemos o motivo pelo qual a identidade on-line e os dados
pessoais são vulneráveis e vimos quem são os invasores cibernéticos. Por
fim, entendemos o que é a guerra cibernética e por que nações e gover-
nos precisam de profissionais de segurança cibernética.
ATIVIDADES
Atividade 1
Com base no caso do malware stuxnet, responda às perguntas a seguir:
a. Observando o tema ciberguerra, qual foi o objetivo real do ataque
realizado às usinas iranianas?
b. O “hacktivismo” ou “ação hacker” é um termo muito usado atualmente.
Qual vetor os atacantes utilizaram para efetuar a infecção do stuxnet?
c. Qual é o papel das empresas na segurança do ciberespaço?
20 Cybersecurity
REFERÊNCIAS
ABNT. NBR ISO 31000: gestão de riscos – diretrizes. Rio de Janeiro, 2018.
ALLIERE, N.; MURCHU, L. O.; CHIEN, E. W32.Stuxnet Dossier. Symantec, nov. 2010. Disponível
em: https://www.wired.com/images_blogs/threatlevel/2010/11/w32_stuxnet_dossier.pdf.
Acesso em: 25 nov. 2021.
HAMMAN, R. Stuxnet: o vírus da pesada. Tecmundo, 13 out. 2010. Disponível em: https://
www.tecmundo.com.br/virus/5878-stuxnet-o-virus-da-pesada.htm. Acesso em: 25 nov.
2021.
MCCLURE, S.; SCAMBRAY, J.; KURTZ, G. Hacking exposed 7: network security secrets &
solutions – network security secrets and solutions. Nova York: McGraw-Hill, 2012.
POZZEBOM, R. Hacker invade software de fabricante de brinquedos e acessa dados
de milhares de crianças. Oficina da Net, 30 nov. 2015. Disponível em: https://www.
oficinadanet.com.br/post/15630-hacker-invade-software-de-fabricante-de-brinquedos-e-
acessa-dados-de-milhares-de-criancas. Acesso em: 25 nov. 2021.
ROBOT, M. the. Atenção usuários do LastPass mudem suas senhas! Kaspersky Daily, 22
jun. 2015. Disponível em: https://www.kaspersky.com.br/blog/lastpass-calls-for-master-
password-reset/5447/. Acesso em: 25 nov. 2021.

2
Conceitos de técnicas
e ataques
• compreender a análise de um incidente após o ataque
cibernético;
• entender o que são vulnerabilidades de segurança e as suas
diferentes categorias;
• identificar as diferenças entre os tipos de malware e seus
sintomas;
• interpretar as diferentes maneiras de os invasores se infiltra-
rem em uma rede de computadores.
Vulnerabilidades são pontos de falhas encontrados em códigos de

software ou em configurações hardware de qualquer tipo. Depois de
um atacante descobrir uma vulnerabilidade, ou tentar explorá-la, o pro-
cesso pode gerar um incidente cibernético. Exploit é usado para des-
crever um código ou ferramenta maliciosa criada para usar ou explorar
uma vulnerabilidade em um alvo. O uso de explorações para vulnera-
bilidades é chamado ataque de exploração ou, em inglês, exploitation. O
objetivo do ataque é acessar o alvo, ganhar recursos de shell, efetuar
movimentação, alteração e dump de credenciais.
2.1 Análise de um ataque cibernético

Vídeo
A engenharia social é uma técnica de ataque na qual o atacante
manipula a inocência da vítima para capturar informações sigilosas.
Normalmente, o atacante se utiliza de situações rotineiras do dia a dia
para manipular a intenção da vítima para ter acesso a algum tipo de
informação.
22 Cybersecurity
O pretexto de conhecer ou ter amizade com pessoas e contatos in-
ternos de departamentos com hierarquia empresária maior que a da
vítima faz com que esta seja intimidada a passar informações.
Figura 1
Engenharia social
NiE PROJECT/Shutterstock
A seguir, exemplos de ataques de engenharia social.
• Pretexting: utilizado para a captura de dados e credenciais.
• Tailgating: efetuado quando um atacante persegue a vítima até
um local que ele entender ser adequado para a aplicação do golpe.
Figura 2
Phishing
Modvector/Shutterstock
Conceitos de técnicas e ataques 23

Phishing é uma técnica de delivery, normalmente utilizada e efetua-
da por meio do envio de um e-mail contendo informações e caracte-
rísticas duvidosas para enganar vítimas de maneira geral. Conforme
ilustrado na Figura 2, o atacante utiliza uma técnica muito próxima a de
um pescador, colocando a isca para vítima cair na fraude.
2.2 Tipos de vulnerabilidades de segurança

Vídeo
Uma parte muito importante do combate às ameaças é a captura de
informações coletadas a partir da pesquisa de vulnerabilidades. Esse
processo envolve pesquisar e descobrir vulnerabilidades em um siste-
ma e determinar a sua natureza. Além disso, a pesquisa busca classifi-
car cada vulnerabilidade em alta, média ou baixa. Podemos usar essa
pesquisa para nos mantermos atualizados sobre os pontos vulneráveis
do ecossistema da organização.
A vantagem de ter essas informações é que um administrador ou

outra equipe pode usá-las para posicionar as defesas. As informações
também podem mostrar onde colocar novos recursos ou ser usadas
para planejar o monitoramento.
A pesquisa de vulnerabilidade é diferente do hacking ético, pois re-

vela passivamente os problemas de segurança, enquanto o processo
de hacking ético procura ativamente as vulnerabilidades.
Vulnerabilidades de software geralmente são causadas por código

do aplicativo ou bugs do sistema operacional. Apesar de todos os esfor-
ços da empresa para localizá-los e corrigi-los, novas vulnerabilidades
costumam aparecer. A Microsoft, a Apple e outros fabricantes de sis-
Figura 3 temas operacionais lançam patches e updates quase todos os dias. Os

Vulnerabilidade updates de aplicativos também são muito comuns. Aplicativos, como
browsers da web, móveis e servidores da web são atualizados regular-
Artur Szczybylo/Shutterstock
mente pela empresa responsável.
24 Cybersecurity
Os objetivos dos updates de software são mantê-lo atualizado e evitar a
utilização de exploits em falhas. Algumas empresas têm times de seguran-
ça ofensiva dedicados a descobrir, detectar e reparar falhas de software
antes que sejam exploradas, mas pesquisadores de segurança terceiriza-
dos também se especializam em detectar vulnerabilidades de software.
O Projeto Zero, do Google, é um ótimo exemplo de como fazer isso.

Depois de descobrir uma série de vulnerabilidades em vários sistemas,
o Google estabeleceu um grupo permanente dedicado a pesquisar fa-
lhas de sistemas operacionais.
Os grupos de pesquisa normalmente utilizam uma técnica denomi-

nada varredura de vulnerabilidade, que é usada para identificar pontos
fracos ou vulnerabilidades em um sistema de destino.
As varreduras de vulnerabilidades são populares entre as empresas

porque estas podem executá-las por conta própria com bastante facili-
dade para avaliar seus sistemas. Dois scanners de vulnerabilidade comu-
mente usados incluem Tenable’s Nessus e Rapid7’s Nexpose. Além disso,
existem scanners especializados, como Burp Suite, Nikto e WebInspect.
As principais vulnerabilidades e falhas de segurança da informação

são categorizadas do seguinte modo:
Buffer overflow: ocorre quando os dados gravados estão fora do

escopo da região de memória destinada ao seu armazenamento. Um
buffer é uma área de memória alocada para um sistema. Quando os da-
dos são alterados além do limite do buffer, o um exploit mal-intencionado
acessa a memória alocada para outros pontos. Isso pode causar falhas
na aplicação, violações de dados ou elevação de privilégios.
Entrada não validada: os programas geralmente funcionam com

entrada de dados. Esses dados inseridos no programa podem conter
conteúdo malicioso projetado para fazer com que o sistema se com-
porte de maneira indesejada. Considere um sistema que recebe uma
imagem para processamento. Usuários mal-intencionados podem criar
arquivos de imagem com tamanhos de imagem inválidos. Um tamanho
gerado de maneira mal-intencionada pode forçar um sistema a alocar
um buffer indesejado e de tamanho incorreto.
Condição de corrida: ocorre quando a saída de um evento depen-

de da saída na ordem ou no tempo. Uma condição de corrida contribui
para a vulnerabilidade se os eventos contínuos ou históricos necessá-
rios não ocorrerem na ordem ou no tempo correto.

Deficiências nas práticas de segurança: diversos programas e sis-
temas podem se fortificar com técnicas como autenticação, validação
e criptografia. Os programadores são vulneráveis a vulnerabilidades
e não devem tentar escrever seus próprios códigos de segurança. Os
programadores são incentivados a usar bibliotecas de segurança que
foram criadas, testadas e validadas.
Problemas de controle de acesso: o controle de acesso contro-

la quem faz o quê, qual é o acesso físico do dispositivo, quem pode
acessar os recursos, que recursos podem fazer, quais usuários podem
ler ou modificar esses dados. Muitas falhas de segurança são criadas
pelo uso errôneo do controle de acesso.
Todos os controles de segurança e acesso podem ser contornados

se um atacante obtiver acesso físico ao dispositivo visado. Por exemplo,
não importa para quais critérios de segurança o arquivo está definido. O
sistema operacional não pode proteger alguém de ignorá-lo e ler os da-
dos diretamente do HD. Para proteger nosso dispositivo e os dados nele
contidos, devemos restringir o acesso local e usar técnicas de criptogra-
fia para proteger os dados contra fraudes e roubo de segredos.
2.3 Tipos de malware e sintomas

Vídeo
A definição de vírus de computador, ou malware, é um código que
pode ser usado para fraudar dados, contornar o controle de acesso,
danificar ou comprometer nosso programa.
A seguir, listamos os tipos comuns de malware.
solarseven/Shutterstock
Figura 4
Malware
26 Cybersecurity
Spyware: um tipo de malware criado para espionar usuários.
O spyware normalmente utiliza uma ferramenta conhecida como
keyloggers para capturar teclas digitadas e prints de tela. Para neutra-
lizar as medidas de proteções, o spyware altera muitas vezes as confi-
gurações de segurança. O spyware geralmente envolve um programa
original ou Trojan horses.
Adware: projetado para veicular publicidade de maneira automáti-

ca, geralmente é instalado com uma versão específica do programa. Al-
guns tipos de adware são projetados apenas para veicular publicidade,
mas normalmente o adware vem com algum tipo de spyware.
Bot: a palavra robô é um software malicioso, normalmente projeta-

do para executar ações on-line automaticamente. A maioria dos bots
é inofensiva, mas uma botnet é um uso gradual de bots maliciosos.
Alguns dispositivos infectados por bots são desenvolvidos para esperar
silenciosamente por comandos de um invasor.
Ransomware: funciona tomando como refém os dados, arquivos e

outros recursos do sistema no sistema e exige o resgate da vítima para
liberar esses recursos. Comparado com outros tipos de malwares, o
ransomware é fácil para um hacker programar. Ao mesmo tempo, do
ponto de vista de remediação, o ransomware é muito difícil de lidar,
pois uma vez criptografado, os dados causam enormes perdas para os
usuários e exigem muito esforço para neutralizar os danos e restaurar
o sistema ao seu estado anterior.
Scareware: um tipo de vírus projetado para manipular a mente dos

usuários a realizar ações com base no medo. O scareware simula um
pop-up como uma caixa de diálogo do sistema. Essas janelas enviam
mensagens fraudulentas alegando que o sistema está em risco ou
solicitando a execução de uma ferramenta específica para retornar à
operação cotidiana. Na verdade, o problema ainda não foi avaliado ou
descoberto. Quando o usuário aceita e executa a ferramenta de limpe-
za, o sistema é infectado por um vírus.
Rootkit: um tipo de malware criado para a infecção em camadas de

kernel do sistema operacional. Um invasor usa um payload de sistema
para acessar um computador remoto. A maioria dos rootkits usa fa-
lhas de software para elevar privilégios e modificar arquivos do sistema
operacional. Os rootkits também são comuns para modificar os progra-
mas de monitoramento e investigação do computador em um sistema,

tornando-os muito difíceis de serem detectados. Os computadores in-
fectados com rootkits geralmente precisam ser limpos e reinstalados.
Vírus: são outros binários executáveis, em geral códigos inseridos em

executáveis legítimos. Os vírus necessitam da ação do usuário, ou seja,
que ele efetue um duplo clique para a sua execução. Os vírus normal-
mente não são inofensivos e podem ser destrutivos, podendo modificar
ou excluir dados. Ainda, podem ser codificados para se modificar para
escapar dos antivírus. Hoje, a maioria dos vírus se espalha por meio de
unidades móveis, discos, compartilhamentos, uso de USB ou e-mail.
Trojan: comumente, são vistos em arquivos de imagem, áudio ou

jogos. Os cavalos de Troia diferem dos vírus porque estão associados a
arquivos inutilizáveis.
Worms: códigos maliciosos que exploram e disseminam falhas de

rede; normalmente, prejudicam as redes de computadores por meio
de um host para executar. Worms podem se acionar e se colocar em
operação por conta própria, o usuário não precisa realizar nenhuma
ação, exceto a infecção inicial. Depois de contaminar o servidor, o
worm pode ser enviado pela rede com muita velocidade. Worms com-
partilham um padrão semelhante, todos eles permitem falhas, formas
de propagação e contêm payloads úteis.
As características a seguir são as mais comuns quando seu compu-

tador estiver infectado, isso não quer dizer que não existe diferenças
entre as demais reações de uma infecção:
• o uso da CPU aumenta;
• o computador fica lento;
• o computador trava ou congela com frequência;
• a navegação fica mais lenta;
• problema inexplicável com a conexão de rede;
• o arquivo foi alterado;
• o arquivo foi deletado;
• existem ícones desconhecidos em sua área de trabalho;
• um processo desconhecido está em execução;
• o programa é encerrado ou reiniciado;
• e-mail enviado sem o seu conhecimento ou consentimento.
28 Cybersecurity
2.4 Métodos de infiltração
Vídeo
A exploração de falhas é outro método comum de testes de pene-
tração. Os atacantes fazem a varredura em seu computador em busca
de informações sigilosas.
A seguir, estão alguns passos comuns de explorar a vulnerabilidade.
Fase 1: coleta de informações sobre o sistema-alvo, incluindo

scanners de portas e engenharia social e técnicas de OSINT. O objetivo
é coletar o máximo possível de informações sobre o alvo.
Fase 2: usar as informações relevantes aprendidas na Fase 1e listar,

assim, sistemas operacionais, suas versões e serviços em execução.
Fase 3: depois que o sistema operacional e a versão do alvo são

conhecidos, o atacante verifica as vulnerabilidades conhecidas espe-
cíficas dessa versão do sistema operacional ou de outros serviços do
sistema operacional.
Fase 4: se uma vulnerabilidade for encontrada, um atacante encon-

trará e usará um exploit. Se nenhum exploit foi criado, o atacante pode
desenvolver.
Den Rise/Shutterstock
Figura 5
Pentest

Ameaças persistentes avançadas
Uma maneira de detectar intrusões é usar a ameaça persistente
avançada (APT). Isso inclui atividades em várias etapas de longo prazo,
intangíveis e aprimoradas para objetivos específicos. Devido à comple-
xidade e ao nível de profissionalismo exigido, os ATP (Advanced Threat
Protection) costumam ser bem financiados – relaciona-se a uma em-
presa ou um país por razões comerciais ou políticas.
O objetivo do APT, frequentemente associado à interceptação de

rede, é entregar malware personalizado a um ou mais sistemas de des-
tino e passar despercebido. Por causa dos vários estágios de atividade
e tipos de malware personalizados que visam dispositivos diferentes e
executam funções específicas, os invasores individuais têm habilidade,
recursos ou persistência especializados para implementar APT.
2.5 Negação de serviço

Vídeo
Existem dois tipos principais de ataques de negação de serviço
(DoS), são eles: DoS ou, em inglês, denial of service, e os ataques dis-
tribuídos de negação de serviço (DDoS). O primeiro causa indisponibi-
lidade no serviço a um usuário, dispositivo ou aplicativo a partir da
geração de tráfego intenso por grandes quantidades de dados por
meio de um único host do invasor. Isso pode resultar em atrasos de
transmissão ou resposta, ou mau funcionamento do serviço.
O ataque normalmente é efetuado criando um pacote mal forma-

tado de modo intencional, que é enviado a um servidor ou aplicativo e
o destinatário não pode processá-lo. Os ataques mais comuns são, por
exemplo, SYN flood e HTTP flood.
Ataques de negação de serviço são considerados grandes armas ao

mundo cibernético, pois podem facilmente causar indisponibilidade
em uma plataforma on-line e inutilizar um serviço de um portal web
em segundos.
30 Cybersecurity
Figura 6
DDoS Ataque
Nicescene/Shutterstock

Já os ataques distribuídos de negação de serviço (DDoS) são

utilizados com o mesmo ideal do DoS, porém sua configuração é
muito mais complexa e exerce mais poder. Quando um atacan-
te utiliza um ataque de DoS depende de um único sistema e de
um número muito pequeno de alvos para atacar a vítima, um ata-
que de DDoS amplia isso ao ter vários atacantes perseguindo-a. Em
qualquer lugar do mundo, pode haver milhares ou milhões, em al-
guns casos. Os botnets são controlados por um sistema de C2, ou
comando e controle, que executa continuamente ações para infectar
mais vítimas e criar mais botnets. Normalmente, o atacante pode até
vender serviços de negação de serviço no mercado negro da deep web.
CONCLUSÃO
As grandes corporações mais bem-sucedidas de hoje entendem as
dificuldades mais comuns de segurança e tentam evitá-las, mas nenhu-
ma medida de segurança é 100% eficaz. As grandes corporações também
devem estar preparadas para evitar riscos, uma vez que riscos elevados
podem elevar as violações.

É importante entender que as consequências de uma vulnerabili-
dade incluem não apenas danos técnicos, roubo de dados, danos ao
sistema operacional, mas também danos à reputação da empresa.
ATIVIDADES
Atividade 1
Marque a opção correta.
Descrição DoS DDoS
Simples de conduzir
Origens efetuadas de diversas fontes
Botnets controladas via C2
O ataque é efetuado com pacotes

mal formatados
O atacante tem uma rede de botnets

maliciosas
Ataque amplamente direcionado,
que faz com que a performance da
rede seja afetada
REFERÊNCIAS
BROAD, J.; BINDNER, A. Hacking com Kali Linux: técnicas práticas para testes de invasão. São
Paulo: Novatec, 2017.
MITNICK, K. D.; SIMON, W. L. A arte de enganar: ataques de hackers – controlando o fator
humano na segurança da informação. São Paulo: Pearson Universidades, 2003.
SIKORSKI, M.; HONIG, A. Practical malware analysis: the hands-on guide to dissecting
malicious software. São Francisco: No Starch Press, 2012.
WEIDMAN, G. Testes de invasão: uma introdução prática ao hacking. São Paulo: Novatec,
2014.
32 Cybersecurity
3
Proteção e privacidade
de dados
• aprender como proteger dispositivos e criar senhas seguras;
• determinar o valor dos dados on-line;
• conhecer formatos de autenticação que ajudarão a aumen-
tar a segurança.
Atualmente muitos dispositivos pessoais que armazenam dados são

a porta de entrada para a vida no mundo virtual. A forma como assegura-
mos esses dados definirá a quantidade de vulnerabilidades e fraudes. O
fortalecimento e aumento da segurança são extremamente necessários.
3.1 Como proteger a rede e os dispositivos

Vídeo
A seguir definiremos uma série de equipamentos necessários em
uma infraestrutura para aumentar e proteger a rede.
O firewall, baseado em software ou um appliance físico, precisa es-

tar bem configurado em uma rede local, pois somente um dispositivo
de roteamento não é suficiente para garantir a segurança da rede LAN.
O antivírus ou antispyware é um dispositivo físico para análise de

redes ou instalado via software em modalidade clientes a ferramen-
tas. Ele visa à proteção de sistemas operacionais de clientes contra
malware, cavalo de Tróia, worms, ransomware e spyware que possam
vir a infectar os dispositivos e promover uma exfiltração de dados. Os
vírus podem infectar dados, tornar o computador extremamente len-
to e promover ao atacando uma forma de controle remotamente. Um
vazamento de dados pode permitir que spammers usem credenciais
para enviar e-mails se passando pelo usuário. Um spyware pode, por
Proteção e privacidade de dados 33

exemplo, capturar todos os nossos métodos de digitação em sites web,
coletar informações e criar anúncios pop-up indesejados no navegador
da web enquanto estamos utilizando a internet.
Baixar programas apenas de sites certificados e com certificados di-

gitais é um ponto importante para evitar spywares e demais infecções.
As ferramentas de antivírus são projetadas para verificar arquivos, re-
giões de memória, atividade de redes e processos no computador em
busca de vírus recebidos e eliminá-los. Uma ferramenta de antivírus
também pode incluir proteção contra ransomwares, proporcionando
que o sistema operacional e os programas estejam protegidos contra
qualquer tipo de sequestro.
O sistema operacional tem diversas funções, entre elas o gerenciamen-

to do navegador – os atacantes estão constantemente tentando explorar
novas vulnerabilidades nos browsers da web. Uma forma de proteger o
computador, bem como os dados, é definir as configurações de seguran-
ça da máquina e do browser para média ou alta. Atualizar os patches do
sistema operacional, incluindo o browser da web, e baixar e instalar regu-
larmente as atualizações de segurança mais recentes de fornecedores e
terceiros ajuda na proteção do seu dispositivo.
Quaisquer equipamentos ou ativos de TI, sejam eles computado-

res, laptops, tablets, switches, roteadores, access points e até mesmo
smartphones, devem sofrer hardening para evitar acessos não autori-
zados. Arquivos salvos precisam estar encriptados, independentemente
de serem padrões do SO ou sensíveis. Nos smartphones ou em qualquer
dispositivo mobile, o ideal é salvar apenas as informações de que precisa-
Figura 1
Antivírus mos, pois esses dispositivos podem ser facilmente roubados ou furtados
enquanto estamos andando na rua. Se um dispositivo for comprometido,
os atacantes podem ter acesso a todos os dados.
Tero Vesalainen/Shutterstock
34 Cybersecurity
Uma rede Wi-Fi permite que dispositivos verificados se conectem
para compartilhar recursos. Normalmente utilizamos muitos desses dis-
positivos, como laptops e tablets, para se conectar a uma rede por meio
de um identificador de rede denominado de service set identifier (SSID).
Redes sem fio residenciais geralmente são alvos utilizados para

ataques. Para evitar esse tipo de fraude, devemos alterar a senha e o
SSID padrão de todos os dispositivos, pois os atacantes conhecem as
configurações de fábrica que vêm pré-instaladas nos equipamentos
das operadoras.
O roteador Wi-Fi tem opções de configuração para não transmitir

o SSID, porém isso não resolve todos os problemas, apenas cria um
obstáculo adicional na rede. Portanto, isso não deve ser considerado
um ponto de segurança, somente um adicional. Além disso, a comuni-
cação Wi-Fi deve ser criptografada com algoritmos de segurança sem
fio, como TKIP e AES, implementados com propriedades gerais de con-
figuração, como WPA2. Se não usarmos esses itens na rede, há grandes
chances de estarmos ainda mais vulneráveis.
Os invasores utilizam ataques de desautenticação, forçando uma

reconexão, ou seja, induzem um usuário que já está conectado a um
AP a se desconectar, levando o ponto de acesso a restabelecer a cone-
xão. A autenticação ocorrerá, permitindo que as informações sejam
capturadas e quebradas.
Uma maneira fácil de realizar um ataque de desautenticação é usar

o Wifite baseado em Linux. Esse pacote de software terá como alvo
uma rede, como uma que usa WPA2, e transmitirá pacotes destina-
dos a expulsar os clientes da rede sem fio. Feito isso, o cliente tenta-
rá autenticar-se novamente, e, nesse ponto, os clientes e o ponto de
acesso serão submetidos a um handshake ao se conectar.
Capturar esse handshake permitirá extrair as informações necessá-

rias para se conectar à rede. O problema é quanto tempo esse processo
demora. Na prática, é possível executar o ataque de maneira passiva,
esperando apenas que um cliente se conecte ao ponto de acesso para,
em seguida, se obter as informações, ou ativa, almejando um ou vá-
rios clientes e os iniciando e ouvindo. Este último é mais eficaz, mas o
primeiro é menos intrusivo. O Wifite executa ataques ativos de modo
muito eficaz, sendo ideal para essa finalidade.

Para corrigir esse enorme problema, todos os dispositivos devem
estar atualizados com as versões mais recentes. Além disso, pode-
mos usar um serviço VPN confiável para não expormos os dados em
uma rede Wi-Fi.
Figura 2
Segurança sem fio
A_stockphoto/Shutterstock
Os métodos de autenticação são o primeiro item de defesa para
um ambiente. Senhas não são comumente consideradas uma medida
de proteção contra intrusões físicas, pois cumprem esse propósito
normalmente de maneira lógica. A desvantagem é que, a menos que
sejam implementadas com cuidado e consideração, tendem a ser um
tanto fracas, oferecendo proteção apenas contra o intruso casual.
Ataque de força bruta pode facilmente contornar senhas, sendo ne-
cessário saber como gerenciar para evitá-lo. A experiência mostra
que as pessoas tendem a:
• ter senhas com palavras simples ou nomes de algo que gostam;
• usar o próprio nome, o nome do cônjuge ou o nome de um ani-
mal de estimação como senha;
• não usar senhas criptograficamente fortes.
Usar a mesma senha para todas as contas on-line é semelhante

a usar a mesma chave para todas as portas fechadas. Se um intru-
so obtiver a chave, terá acesso a tudo o que o usuário possui. Por
exemplo, se o criminoso obtiver a senha por meio de phishing, ten-
tará fazer login em outra conta on-line. Usar uma única senha para
36 Cybersecurity
todas as contas também pode provocar o acesso a elas e o roubo, a
excluir ou a personificação de todos os dados.
Como usamos muitas credenciais on-line que exigem uma senha,

uma forma de evitar o reuso e o uso de senhas fáceis é utilizar um
cofre de senhas, capaz de armazenar e criptografar todas as senhas
complexas e diferentes. O cofre ajudará a fazer login automaticamen-
te na conta on-line.
Figura 3
Senhas
Vitalii Vodolazskyi/Shutterstock
senhas
Para acessar o cofre de senhas e gerenciar todas as contas e se-

nhas, tudo o que precisamos fazer é lembrar da senha mestra. Boas
dicas para uma senha segura são: não usar palavras prontas, datas de
aniversário ou algo que relacione o usuário à senha; não usar palavras
comuns em dicionários ou apelidos; não usar nomes de animais de
estimação ou coisas inanimadas; e sempre utilizar caracteres especiais
(*&¨%$#/?) com uma senha de mais de 12 caracteres.
3.2 Manutenção de dados

Vídeo
As informações sempre devem ser criptografadas. Mas por que usar
criptografia? Às vezes pensamos que não há nada secreto ou oculto e
que nenhuma pessoa quer nossas informações. Isso provavelmente
não é verdade. Pronto para mostrar todos seus e-mails e conversas
nas mídias sociais a estranhos? Pronto para vazar as informações de

saúde armazenadas em seu computador? Quer tornar público o seu
endereço do Facebook e a senha da sua conta? Pode se tornar ainda
mais irritante se um aplicativo malicioso infectar o computador ou o
mobile e roubar dados valiosos, como números de cartões, senhas e
informações importantes. Esses tipos de dados podem levar ao roubo
de informações pessoais, à fraude ou ao sequestro. Os fraudadores
podem pensar, por exemplo, em simplesmente criptografar as infor-
mações para que não possam ser usadas até que o resgate seja pago.
A criptografia é a etapa de conversão de informações em um padrão

ilegível por pessoas não autorizadas. Somente pessoas de confiança,
autorizadas pela chave privada ou senha, podem descriptografar as
informações e acessá-las em seu formato original. A criptografia em si
não pode impedir que alguém capture informações. Ela não impede que
pessoas não autorizadas vejam ou acessem um conteúdo. Existem pro-
gramas usados para criptografar PDFs, fotos e até HDs. Encrypting File
System (EFS) é um recurso do Windows que permite criptografar informa-
ções. Ele está diretamente vinculado a uma credencial de login. Depois
de serem criptografadas com EFS, apenas a credencial que criptografou
as informações pode acessá-las. O HD pode parar de funcionar. Você
pode esquecer o seu laptop em algum lugar. Seu celular pode ser fur-
tado. Você pode ter excluído a versão inicial de um PDF importante. Os
backups podem evitar a perda de informações, como arquivos e fotos
de família. O backup bem-sucedido de dados requer locais de armaze-
namento adicionais para backups regulares e automáticos dos dados.
Locais adicionais de informações de backup podem ser a rede do-

méstica, um local secundário ou a cloud. Salvar os dados de backup
fisicamente oferece controle total dos dados. Podemos copiar todos
os dados para um device de armazenamento conectado à rede ou um
HD externo simples ou selecionar alguns arquivos importantes para
fazer backup em mídias externas, CDs e DVDs. Nesse caso, o usuário
é o dono e único responsável por zelar pelo dispositivo de backup. Ao
inscrever-se em um serviço de backup em nuvem, o custo depende
da quantidade de espaço de que se precisa. Serviços de backup em
cloud, como AWS backup, permitem que acessemos as informações
de backup e a conta ao mesmo tempo. Se assinarmos um produto de
backup on-line, podemos precisar escolher mais informações para ar-
38 Cybersecurity
mazenar devido ao custo de backup e à taxa de dados continuamente
on-line. Um dos benefícios de backups em outro lugar é a proteção em
caso de catástrofes naturais, roubo ou qualquer outro desastre que
não seja a falha do dispositivo de backup.
Se movermos um documento para a lixeira e excluí-lo, ele não estará

mais acessível para o computador. Qualquer pessoa com ferramentas
forenses certas pode recuperar informações de vestígios magnéti-
cos restantes no HD. Para remover dados irrecuperáveis, precisamos
substituir as informações pelos números 1 e 0 ou bits e bytes várias
vezes. Podemos precisar usar ferramentas especialmente projetadas
para essa finalidade para evitar a recovery de arquivos apagados. A
ferramenta SDelete da Microsoft afirma ser capaz de excluir perma-
nentemente informações secretas. A Shred para Unix e a Secure Empty
Trash para MacOS são algumas das ferramentas que afirmam oferecer
serviços semelhantes. A única forma de garantir que as informações
não possam ser recuperadas é destruindo fisicamente o HD ou o dis-
positivo de backup. A estupidez de muitos fraudadores é pensar que os
arquivos não podem ser invadidos ou recuperados.
Figura 4
Alexander Supertramp/Shutterstock
Backup

3.3 Como proteger a privacidade on-line
Vídeo
Para construirmos a privacidade nas mídias sociais, devemos dispo-
nibilizar o mínimo de informações que pudermos. Não podemos infor-
mar dados como data de aniversário, endereço de e-mail ou número
de celular no profile. Se fizermos isso, os fraudadores já terão os dados
de modo simples. Portanto, não disponibilize seus dados nas redes so-
ciais e forneça apenas os dados necessários.
Quanto mais dados sigilosos compartilharmos, mais rápido será

para um atacante criar o profile falso enquanto estamos off-line.
Você lembra do nome de login e da password do seu acesso? Ou

você usa perguntas secretas, como “Qual é o nome do seu animal fa-
vorito?” ou “Qual é o país que você mais gosta?”? Isso ajuda a proteger
a conta contra atacantes. Porém, qualquer usuário que desejar fazer
login na conta poderá pesquisar respostas na internet. Também pode-
mos responder a essas perguntas com dados incorretos. Se tivermos
problemas para lembrar deles, podemos usar o cofre de senhas.
Nos dias atuais, centenas de e-mails são usados para se comuni-

car com colegas e empresas. Enviar um e-mail é como enviar uma
carta, qualquer pessoa pode ver a mensagem nela. As informações
de e-mail são enviadas em formato de texto e podem ser lidas por
qualquer usuário com acesso a elas. Esses dados também são envia-
dos entre diferentes hosts a caminho de seus destinos. Mesmo que
excluamos um e-mail, ele ainda poderá ser armazenado nos hosts
de e-mail por um período.
Qualquer usuário com acesso local ao seu computador ou firewall

pode usar o histórico, o cache do browser e, opcionalmente, os arqui-
vos de log para visualizar as páginas da web que visita. Esse proble-
ma pode ser atenuado ativando o modo de utilização anônima dos
browsers. Os mais usados têm seus próprios nomes para o modo de
utilização anônima, como os seguinte:
• Microsoft Internet Explorer: InPrivate.
• Google Chrome: incógnito.
• Mozilla Firefox: aba privada.
• Safari: privado/aba privada.
40 Cybersecurity
Quando ativamos a aba privada, os cookies são desativados. Fechar
uma janela ou programa excluirá os dados temporários da internet e
o histórico de navegação. Manter o histórico de navegação de aba pri-
vada pode impedir que outras pessoas coletem dados da atividade ou
tentem vender um produto com publicidade direcionada. Mesmo com
a aba privada habilitada e os cookies desabilitados, as companhias es-
tão criando várias maneiras de identificar e coletar informações dos
clientes e rastrear sua utilização. Por exemplo, um switch, como um
roteador, pode ter dados do histórico de usabilidade do usuário.
Figura 5
Navegação segura
Marc Bruxelle/Shutterstock
A responsabilidade de proteger as informações, os dados e os

devices é nossa. Havendo precauções rápidas, como perguntar-se se
devemos incluir o balancete financeiro ao enviar e-mails e se a cone-
xão é segura na próxima vez que usarmos a internet, não teremos
problemas futuros.
CONCLUSÃO
Criar senhas extensas e fortes com caracteres especiais na rede sem
fio aumenta a segurança. Fazer um backup de dados completo e de in-
formações de exclusão de dados, proteger os dados e usar a tecnologias
de autenticação, evitando compartilhar muitas informações nas redes so-
ciais, são pontos que diminuem os riscos e ajudam a evitá-los.

ATIVIDADES
Atividade 1
Você foi contratado por uma empresa de tecnologia para ser
o novo consultor de segurança da informação. Atualmente ela
tem duas redes Wi-Fi, a primeira com o SSID “EMPRESA ZYX”
e a segunda com o SSID “EMPRESA ZYX GUEST”, e nenhum
tipo de segurança configurado. Como sua primeira atividade,
descreva quais tipos de segurança podem ser aplicados para
fortalecer ambas as redes.
REFERÊNCIAS
solutions – network security secrets and solutions. Nova York: Mcgraw-hill, 2012.
SEITZ, J. Black hat Python: programação Python para hackers e pentesters. São Francisco:
No Starch Press, 2015.
WEIDMAN, G. Testes de invasão: uma introdução prática ao hacking. São Paulo: Novatec, 2014.
42 Cybersecurity
4
Proteção empresarial
• conhecer as tecnologias utilizadas por profissionais de
cibersegurança;
• proteger a infraestrutura de dispositivos;
• entender os pontos de segurança, como botnets e kill chains.
Um firewall é uma proteção criada para evitar a propagação de um

ataque a uma rede de computadores. Ele administra ou verifica a comu-
nicação que pode ingressar ou sair de um equipamento ou rede.
Você pode instalar um firewall em um servidor para protegê-lo

(firewall baseado em servidor) ou um equipamento de rede (firewall
como gateway de rede) para proteger a rede de todos os equipamen-
Figura 1 tos em sua LAN, conforme a figura a seguir.
Firewall
Andrea Danti/Shutterstock
Proteção empresarial 43
4.1 Tipos de firewall
Vídeo
Lista de tipos de tecnologias e componentes de segurança que te-
mos em um firewall:
• O firewall de camada 3 efetua a filtragem com base na origem do
endereço IP e no destino.
• O firewall de camada 4 efetua a filtragem com base na origem da
porta, no destino e no status.
• O firewall de camada 7 efetua a filtragem de aplicativo, sistema
ou contexto altamente sensível com base no perfil do usuário.
• O proxy solicita conteúdo da web, como URLs, domínios e filtros
de páginas de conteúdo visual.
• O proxy reverso é inserido na frente de servidores da web para
ocultá-los, fazendo o offload.
• O Network Address Translation (NAT) é utilizado para mascarar o
endereço de IP de um servidor de rede.
• O firewall local é instalado localmente no servidor para filtrar as
portas de acesso do servidor local.
Nos dias atuais, não temos um único dispositivo ou sistema de se-

gurança que possa atender na totalidade às nossas necessidades de
segurança cibernética. Visto que diferentes ferramentas e dispositivos
de segurança precisam ser implantados, é importante que eles fun-
cionem juntos, assim eles são mais eficientes quando fazem parte do
ecossistema como um todo. O dispositivo de segurança pode ser autô-
nomo, como um IPS ou Proxy, um módulo que pode ser instalado em
um dispositivo de infraestrutura ou uma placa com seu próprio chip.
Pode também ser um sistema no formato de ferramentas executadas
em dispositivos de infraestrutura.
Alguns roteadores têm uma gama de funcionalidades de firewall,

como filtragem de conteúdo, identificação e prevenção de intrusão
(IPS), criptografia e VPN, além de recursos de roteamento e encapsula-
mento criptografado.
Linhas de firewall de próxima geração ou NGFW oferecem análise e

gerenciamento de rede avançados, além de todos os demais recursos
de rede.
44 Cybersecurity
Figura 2
VPN
MaDedee/Shutterstock
Tecnologias como VPN são disponibilizadas como padrão em equi-
pamentos de segurança com funcionalidades de rede, normalmente
gateway ou dispositivos de borda para a criação de túneis criptografa-
dos seguros. Conforme podemos visualizar na imagem anterior.
4.2 Detecção de malware

O software antivírus é o tipo mais básico de sistema de proteção
Vídeo
utilizado para defender endpoints contra malwares. Mas, além do soft-
ware antivírus, existem muitos outros tipos de produtos para proteger
usuários doméstico e empresarial dessas ameaças, tanto no terminal
quanto no nível de rede.
Nenhum sistema é perfeito. Se um hacker explorar uma vulnera-

bilidade em um sistema antes que o administrador saiba como con-
sertá-lo, isso é chamado de ataque de 0day. Com a sofisticação e o alto
custo dos ataques de dia zero atuais, os ataques cibernéticos estão se
tornando cada vez mais comuns, e o sucesso de uma defesa depende
da rapidez com a qual a infraestrutura pode reagir a eles. Um depar-
tamento de defesa deve detectar os APTs em tempo real e interrom-
pê-los o mais rápido possível após sua ação inicial; esse é o objetivo
mais eficaz. Porém, muitas organizações não conseguem detectar um
ataque dias ou meses após sua ocorrência.
Uma análise de ponta a ponta ou uma detecção de ataque, ambas

em tempo real, requerem uma análise de ataque por meio de firewalls
e sistemas de rede IDS/IPS. Você também deve usar a detecção de ví-
rus cliente/servidor de próxima geração que se conecte a algum Global
Threat Center on-line. Atualmente, existem softwares analíticos ativos,
e os sistemas podem e devem usar detecção de comportamento e aná-
lise de contexto para detectar anomalias de sistemas.
Ataques na modalidade de negação distribuída são uma ameaça de

ataque cujo principal objetivo é gerar uma quantidade massiva de co-
municações contra um servidor alvo, indo de encontro aos fatores que
impactam, com disponibilidade do mesmo. Os ataques distribuídos
são difíceis de combater porque vêm de centenas ou milhares de ser-
vidores contaminados em diversos pontos do globo e aparecem como
tráfego legítimo. Na maioria dos casos, esses ataques comprometem
a disponibilidade dos servidores e suas conexões com a internet. A or-
ganização precisa ter um tipo íntegro e ferramentas de alto nível para
efetuar uma resposta ao incidente em tempo real desses ataques.
Atualmente, as principais ameaças ainda não mapeadas são co-

nhecidas como 0days, normalmente criadas por Ameaças Persistentes
Avançadas (APTs), ou seja, grupos de atacantes com recursos e alto de-
sempenho especialistas em cyber-crime.
Os administradores de infraestrutura de rede podem monitorar e

encontrar rapidamente a existência de novos malwares ou sinais com-
portamentais que indiquem a presença de um APT.
Diversos sistemas de proteção contra malwares podem verificar

com segurança milhões de arquivos e compará-los a centenas de mi-
lhões de outros artefatos de vírus verificados por meio do compartilha-
mento de IOCs, que fornecem informações sobre ataques, campanhas
e implantações de malware. Os IOCs podem suportar diversos indica-
dores como hashs de arquivos, IPs, domínios e ferramentas utilizadas
pelos atacantes.
46 Cybersecurity
Figura 3
Práticas de segurança
Song_about_summer/Shutterstock
Aqui está uma lista das melhores práticas que você pode utilizar
para fortalecer a segurança da sua empresa:
• Efetuar uma avaliação de risco mensalmente.
• Efetuar uma análise de vulnerabilidades mensalmente.
• Aprimorar no seu dia a dia uma PSI efetiva.
• Implementar controles de acesso aos locais de dados como CPDs.
• Efetuar a validação de recursos humanos para prevenir insiders.
• Executar backups frios e em nuvem.
• Executar teste de restore de backups.
• Implementar sistemas de atualização de patches.
• Usar controle de acesso.
• Ter um time de resposta a incidentes/caça a ameaças.
• Implementar uma solução de monitoramento de infraestrutura.
• Implementar recursos de segurança de rede.
• Implementar recursos de segurança de endpoint.
• Treinamento de usuários.
• Criptografia de dados.
4.3 Botnet
Vídeo
Botnets são um conjunto de robôs, bots em inglês, normalmente
criados a partir de máquinas de usuários reais, que são infectadas por
ataques de deliverys como trojans. Em diversos casos, as vítimas tam-
bém podem ser infectadas quando visitam sites ou abrem arquivos in-
fectados. Um botnet é uma rede que pode conter diversos bots.
Figura 4
Botnets
BeeBright/Shutterstock
Os botnets são geralmente controlados por servidores de C2. Os
cibercriminosos costumam alugar botnets a terceiros para fins ilegítimos.
4.4 Kill Chain

Vídeo Segundo Weidman (2014), em Cibersegurança a cadeia de destrui-
ção inclui as fases de ataque aos sistemas de informação. A cadeia é
uma estrutura de segurança para detecção de incidentes e resposta a
eles, a qual inclui as seguintes etapas:
• Etapa 1: coleta informações sobre o alvo.
• Etapa 2: criação de arma cibernética.
• Etapa 3: entrega de ameaça.
• Etapa 4: exploração do alvo por meio da arma criada.
• Etapa 5: instalação da ameaça.
• Etapa 6: controle remoto pela vítima.
• Etapa 7: execução dos objetivos.
48 Cybersecurity
Figura 5
Cyber Kill Chain
Maryna Yakovchuk/Shutterstock
Reconhecimento Armamento Entrega Exploração
Instalação Comando e controle Ações e objetivos
Um time vermelho executa as etapas descritas em uma cadeia de

destruição. Um engajamento pode não corresponder exatamente às
etapas, mas pode ser mapeado para uma cadeia de destruição, se
necessário. Usar uma cadeia de destruição pode trazer muitos bene-
fícios, pois permite que o alvo no teste observe uma ou mais etapas
adversas.
Um time vermelho pode executar todas as etapas em um envol-

vimento em grande escala ou executar um subconjunto para mer-
gulhar mais fundo nas ações de uma etapa específica. Por exemplo,
as defesas de segurança que precisam proteger contra a entrega de
um ataque são muito diferentes das defesas necessárias para moni-
torar e proteger contra o tráfego de comando e controle.
Desse modo, dividir um engajamento em subetapas permite que

a organização examine as áreas mais fracas de maneira mais com-
pleta. Essa abordagem pode ajudar as equipes vermelhas e as orga-
nizações-alvo a usar recursos limitados de forma mais eficaz.
4.5 Segurança comportamental
Vídeo
Quando entramos no tema de segurança comportamental, não po-
demos esquecer de definir quais são as ameaças e seus comportamen-
tos, além de quais ferramentas utilizaremos para conseguir proteger a
infraestrutura dessas ameaças.
C2 é qualquer ferramenta ou processo que forneça a uma amea-

ça um meio de influenciar um alvo. Ferramentas como PowerShell
Empire ou Cobalt Strike fornecem agentes ou beacons que podem
ser implantados em um alvo. Essas ferramentas usam um meio
assíncrono de comunicação. Um agente ou beacon pesquisa um
servidor C2 para obter instruções sobre um intervalo controlado.
O servidor é consultado para uma tarefa, se houver uma tarefa, o
agente ou beacon executa a ação e relata os resultados. Se não
houver tarefas, o agente ou beacon vai “hibernar” pelo período de
tempo predefinido.
As comunicações C2 assíncronas oferecem muitos benefícios para

uma equipe vermelha em relação às síncronas, controlando quando
e com qual frequência as comunicações são enviadas. Um agente C2
pode fazer pesquisas quase em tempo real ou pode fazer o check-in
uma vez por dia. Desse modo:
• Ignore firewalls por meio da comunicação de saída. Os clien-
tes normalmente não são acessíveis fora de uma rede, mas
podem alcançar ativos na internet por meio de comunicação
de saída.
• Não requer uma conexão estabelecida constante.
Embora os times vermelhos usem ferramentas de seguran-

ça ofensivas semelhantes às dos testadores de invasão, existem
ferramentas mais enfatizadas pelos times vermelhos, especifica-
mente quando se trata de comando e controle. Outros testado-
res de segurança também podem usar ferramentas de comando
e controle. Os objetivos de um Red Team são em geral fortemente
dependentes de uma sólida infraestrutura C2 e de um conjunto
de ferramentas.
O maior desafio na emulação de ameaças é emular a um nível

no qual o analista acredite que a ameaça é real, o que varia desde
50 Cybersecurity
o uso de um malware real e o desenvolvimento de um malware
personalizado, o qual modela uma ameaça real, até o uso de fer-
ramentas que geram indicadores de comprometimento (IOCs), dei-
xados para trás por um ataque de uma ameaça real. Em qualquer
caso, o planejamento eficaz e a determinação dos componentes
críticos de uma ameaça levarão a um melhor design de emulação
de ameaça.
Para emular um adversário ou seus TTPs, o planejamento é a

chave. Sem planejamento, modelar um ator sofisticado pode se
tornar extremamente difícil, demorado e caro. Temos visto muitas
vezes pedidos para emular um ator altamente sofisticado, como
“APT grupo X” ou um “Estado-nação” com pouco ou nenhum tempo
ou orçamento. É importante que atores sofisticados tenham tem-
po, dinheiro e recursos para construir e desenvolver ferramentas,
exploits ou técnicas personalizadas. Isso pode parecer óbvio, mas
devemos lembrar que um Time Vermelho encarregado de emu-
lar um ator específico não é aquele ator. A equipe pode não ter o
tempo ou o orçamento necessários para emular perfeitamente um
adversário, no entanto isso não é um impedimento. Com um bom
planejamento, uma ameaça pode ser emulada apenas o suficiente
para ficar dentro de um orçamento razoável, tempo e esforço ne-
cessários para modelar os componentes centrais de uma ameaça.
Os honeypots são ferramentas de cibersegurança utilizadas para

capturar formatos e comportamentos, além de permitirem que os
network admin entendam, registrem e analisem o comportamento do
atacante, servindo como uma isca e atraindo o comportamento mali-
cioso para o honeypot (este que normalmente simula ambientes próxi-
mos aos ambientes reais da empresa).
4.6 Segurança cibernética empresarial

Vídeo Conforme observamos, diversos ataques digitais acontecem todos
os dias. Novas falhas e métodos de ataque são constantemente des-
cobertos e utilizados por cibercriminosos. A segurança da informação
deve se tornar uma grande preocupação para as empresas, pois as
falhas afetam a sua reputação e os seus ganhos financeiros. Toda a
empresa precisa seguir políticas mínimas de segurança de informação
e de resposta a incidentes.
A melhor forma que sua organização tem de se prevenir é efetuan-

do uma conscientização para todos os níveis de usuários, deixando cla-
ro as necessidades e diretrizes necessárias para identificar os riscos
para servidores, ativos e informações.
Proteja todo o ambiente de infraestrutura através da detecção de

eventos, tomando medidas apropriadas para minimizar o impacto e os
danos.
Um plano de resposta ao incidente deve ser flexível e possuir várias

opções de ação, depois de prevenida uma violação e recuperados os
sistemas e serviços violados. As medidas e os procedimentos de segu-
rança devem ser constantemente revistos para que as lições aprendi-
das com o incidente passado sejam incluídas.
Figura 6
Segurança comportamental
Elnur/Shutterstock
Cada empresa tem algum tipo de solução de análise de rede que

inspeciona o tráfego e o disseca para decifrar várias coisas. A análise de
tráfego pode ser por vários motivos:
• visibilidade da comunicação;
• visibilidade da rede e da integridade do dispositivo;
• visibilidade de recursos e dispositivos;
52 Cybersecurity
• identificação de atividade maliciosa, incluindo identificação de
exploração, de infecção maliciosa, de recons e qualquer outra
atividade.
Nem todos os tipos de análise de tráfego exigem exatamente o

mesmo tipo de soluções de análise. Dependendo das necessidades de
análise, as soluções podem variar, tornando-se mais complexas. Por
exemplo, a visibilidade simples nas comunicações entre vários dis-
positivos em sua rede pode precisar apenas de registros simples do
NetFlow e nada mais, o que pode ser obtido por meio de registros de
fluxo extraídos de switches em sua rede.
Mas, além dos relatórios de visibilidade de comunicação mais com-

plexos, incluindo o tipo e as informações sobre os dados que são tro-
cados entre os dispositivos, podem ser necessárias uma inspeção mais
profunda no conteúdo dos pacotes e a dissecação dos protocolos usa-
dos por eles. Uma inspeção mais profunda nos pacotes, incluindo a
dissecação dos protocolos, é chamada de inspeção profunda de pacotes
(DPI). A DPI é essencial se você estiver procurando identificar um tráfe-
go malicioso de rede, seja a identificação de exploração, CnC de malwa-
re, identificação de reconhecimento e assim por diante. A DPI é usada
por quase todos os produtos de segurança de rede atuais, incluindo
firewalls, IDS, IPS e assim por diante.
As seguintes ferramentas podem ser usadas para detectar e preve-

nir incidentes de segurança:
• O SIEM (sistema de gerenciamento de informações e eventos de
segurança, em português) é um enriquecedor e correlacionador
que coleta e analisa informações sobre ameaças à segurança em
tempo real e históricos, registros e logs em geral.
• O DLP (prevenção de perda de dados, em português) é um
software projetado para evitar o roubo ou a perda de dados con-
fidenciais da rede. Podem resolver problemas de autorização,
como acesso, e são feitos para monitorar e proteger os dados
em três estados diferentes: em uso, em movimento e em arquivo.
• O ISE (mecanismo de serviços de identidade, em português) é um
software projetado para criar políticas de controle de acesso ba-
seadas em funções do acesso à rede que classifiquem o tráfego
com base na identidade do usuário ou dispositivo.
• O IDS (sistema de detecção de intrusão, em português) é um
software projetado para varrer dados de um banco de dados
de regras de ataque ou listas em busca de tráfego malicioso. Ele
registra a descoberta e gera um alerta para o administrador da
rede, mas não bloqueia os ataques. O trabalho do IDS é simples-
mente detectar, registrar e relatar.
• O IPS (sistema de prevenção de intrusão, em português) é um
software projetado para parar ou negar o tráfego com base na
correspondência de regra ou assinatura maliciosa. O Snort é uma
das mais populares ferramentas que pode realizar tráfego em
tempo real e análise de portas, gerar logs, pesquisar e combinar
conteúdo e detectar ataques e scanning de portas.
CONCLUSÃO
Este capítulo começa mostrando algumas das tecnologias usadas por
profissionais de cibernética para proteger redes, dispositivos e dados cor-
porativos. Isso inclui firewalls e tipos de software de segurança. Aprendemos
sobre botnets, kill chains e segurança baseada em técnicas de análise pre-
ditiva, como comportamento e monitoramento de rede usando o NetFlow.
Finalmente, falamos sobre a necessidade de privacidade e segurança
cibernética no mundo empresarial e as ferramentas usadas por profissio-
nais de segurança cibernética para detectar e prevenir ataques cibernéti-
cos, como sistemas IPS, DLP, SIEM, IDS e ISE.
ATIVIDADES
Atividade 1
Agora que você já conhece como um atacante pensa para
efetuar um ataque cibernético, você irá acessar o site https://
attack.mitre.org/techniques/enterprise/ para encontrar vários
exemplos e classificações de pelo menos um item sobre os
tópicos abaixo:
1. reconhecimento;
2. desenvolvimento de recursos;
3. acesso inicial;
4. execução;
5. persistência;
6. escalonamento de privilégios;
7. evasão de defesa;
8. acesso de credencial;
9. descoberta;
54 Cybersecurity
10. movimento lateral;
11. coleção;
12. comando e controle;
13. exfiltração;
14. impacto.
Após classificá-los, enquadre os pontos principais dentro da
Cyber Kill Chain.
REFERÊNCIAS
solutions – network security secrets and solutions. Nova Iorque: Mcgraw-hill, 2012.
SEITZ, J. Black hat Python: programação Python para hackers e pentesters. São Francisco:
No Starch Press, 2015.
VESTIAS, M. Redes cisco. 7. ed. Lisboa: FCA, 2016.
2014.
5
Futuro da área de
cibersegurança

• aprender os conceitos iniciais das leis de proteção de dados;
• entender o que são dados pessoais e dados sensíveis;
• aprender sobre o processo de tratamento dos dados;
• entender o caminho profissionais para a segurança cibernética.
Certificações são um pré-requisito para a vida profissional de es-

pecialistas em muitas áreas de rede, incluindo segurança cibernética.
Os profissionais de cibersegurança devem ter as mesmas qualificações
que os hackers, especialmente os de chapéu preto, para se protegerem
de ataques. Uma das diferenças entre hackers e profissionais conheci-
dos como hackers do bem ou éticos é que profissionais de ciberseguran-
ça precisam trabalhar dentro dos limites da lei.
Agora, veremos como as leis de proteção de dados estão direta-

mente ligadas à segurança da informação.
5.1 Leis de proteção de dados

Vídeo
Desde 1970, com o início do processo de informatização da ativi-
dade de processamento de dados pessoais, a economia tem sido for-
temente impulsionada pelo poder da informação. Grandes empresas
de varejo passaram a tomar suas decisões estratégicas baseadas em
refinadas análises a respeito de renda, preferências e comportamentos
de seus consumidores, oferecendo produtos e serviços personalizados,
numa forma valiosa de fidelizar clientes, poupar tempo e lucrar.
56 Cybersecurity
Figura 1
LGPD
Vector Image Plus/Shutterstock

A LGPD introduz novas responsabilidades e práticas que devem ser
observadas e cumpridas por todos aqueles que realizam tratamento
de dados pessoais, dedicando capítulos da lei às medidas de segurança
e às boas práticas que devem ser adotadas para garantir a segurança e
a proteção dos dados (BRASIL, 2018).
5.1.1 O que é um dado pessoal

Segundo a LGPD (BRASIL, 2018), grandes empresas de varejo passa-
ram a tomar suas decisões estratégicas baseadas em refinadas análises
a respeito de renda, preferências e comportamentos de seus consumi-
dores, oferecendo produtos e serviços personalizados, numa maneira
valiosa de fidelizar clientes, poupar tempo e lucrar. Os dados pessoais
são aqueles que identificam você como pessoa natural e, nessa condição
de identificadores da nossa personalidade, podem ser usados para ma-
nipular nossas próprias escolhas. Ao mesmo tempo, também represen-
tam ativos de extrema importância para as empresas, na medida em que
podem ser utilizados para o atingimento de seus objetivos econômicos.
Acrescente a esse conjunto de valores as informações pessoais pro-

priamente ditas e temos um universo de valor inestimável, ao qual se
convencionou denominar dados pessoais. Os dados pessoais são a nova
moeda digital de troca, por isso são tão valiosos para os cibercriminosos.
Futuro da área de cibersegurança 57

Figura 2
Dado Pessoal
Viktoria Kurpas/Shutterstock
A LGPD tem como objetivo “proteger os direitos fundamentais de
liberdade e de privacidade e o livre desenvolvimento da personalidade
da pessoa natural” (BRASIL, 2018). Isso significa que a legislação con-
fere aos dados pessoais o status de direito fundamental, incluindo-os
entre aqueles que são inerentes à proteção do princípio da dignidade
da pessoa humana.
Conforme o artigo 2º da LGPD (BRASIL, 2018) a disciplina da prote-

ção de dados pessoais tem como fundamentos:
I. o respeito à privacidade;
II. a autodeterminação informativa;
III. a liberdade de expressão, de informação, de comunicação e de
opinião;
IV. a inviolabilidade da intimidade, da honra e da imagem;
V. o desenvolvimento econômico e tecnológico e a inovação;
VI. a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII. os direitos humanos, o livre desenvolvimento da personalidade,
a dignidade e o exercício da cidadania pelas pessoas naturais.
5.1.2 O que entendemos por tratamento

Para entendermos o tratamento, vamos falar sobre os seguintes
atores na LGPD, conforte os itens a seguir:
58 Cybersecurity
I. Dado pessoal: informação relacionada à pessoa natural
identificada ou identificável.
II. Dado pessoal sensível: dado pessoal sobre origem racial ou
étnica, convicção religiosa, opinião política, filiação a sindicato
ou à organização de caráter religioso, filosófico ou político, dado
referente à saúde ou à vida sexual, dado genético ou biométrico,
quando vinculado a uma pessoa natural.
III. Dado anonimizado: dado relativo a titular que não possa ser
identificado, considerando a utilização de meios técnicos
razoáveis e disponíveis na ocasião de seu tratamento.
IV. Banco de dados: conjunto estruturado de dados pessoais,
estabelecido em um ou em vários locais, em suporte eletrônico
ou físico.
V. Titular: pessoa natural a quem se referem os dados pessoais que
são objeto de tratamento.
VI. Controlador: pessoa natural ou jurídica, de direito público ou
privado, a quem competem as decisões referentes ao tratamento
de dados pessoais.
VII. Operador: pessoa natural ou jurídica, de direito público ou
privado, que realiza o tratamento de dados pessoais em nome
do controlador.
VIII. Encarregado: pessoa indicada pelo controlador e operador para
atuar como canal de comunicação entre o controlador, os titulares
dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)
(BRASIL, 2018).
A atividade de tratamento de dados pessoais está calcada sobre

princípios fundamentais indicados pela legislação que, com o objetivo
de proteger o titular, limitam o tratamento de dados pessoais. Confor-
me o artigo 6º da LGPD, alguns deles são:
I. Finalidade: realização do tratamento para propósitos legítimos,
específicos, explícitos e informados ao titular, sem possibilidade de
tratamento posterior de forma incompatível com essas finalidades.
II. Adequação: compatibilidade do tratamento com as finalidades
informadas ao titular, de acordo com o contexto do tratamento.
III. Necessidade: limitação do tratamento ao mínimo necessário
para a realização de suas finalidades, com abrangência dos
dados pertinentes, proporcionais e não excessivos em relação às
finalidades do tratamento de dados.
IV. Livre acesso: garantia, aos titulares, de consulta facilitada e
gratuita sobre a forma e a duração do tratamento, bem como
sobre a integralidade de seus dados pessoais.

V. Qualidade dos dados: garantia, aos titulares, de exatidão, clareza,
relevância e atualização dos dados, de acordo com a necessidade
e para o cumprimento da finalidade de seu tratamento.
VI. Transparência: garantia, aos titulares, de informações claras,
precisas e facilmente acessíveis sobre a realização do tratamento
e os respectivos agentes de tratamento, observados os segredos
comercial e industrial.
VII. Segurança: utilização de medidas técnicas e administrativas
aptas a proteger os dados pessoais de acessos não autorizados e
de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou difusão. (BRASIL, 2018)
Considerando que os dados pessoais são um direito personalíssi-

mo, tutelado pela legislação, os titulares dos dados poderão, a qual-
quer tempo e mediante requisição, solicitar ao controlador, conforme
o artigo 9º da LGPD,
I. finalidade específica do tratamento;
II. forma e duração do tratamento, observados os segredos
comercial e industrial;
III. identificação do controlador;
IV. informações de contato do controlador;
V. informações acerca do uso compartilhado de dados pelo
controlador e a sua finalidade;
VI. responsabilidades dos agentes que realizarão o tratamento;
VII. demais direitos do titular de dados. (BRASIL, 2018)
Ainda, conforme o artigo 50 da LGPD:

Os controladores e operadores, no âmbito de suas competên-
cias, pelo tratamento de dados pessoais, individualmente ou por
meio de associações, poderão formular regras de boas práticas e
de governança que estabeleçam as condições de organização, o
regime de funcionamento, os procedimentos, incluindo reclama-
ções e petições de titulares, as normas de segurança, os padrões
técnicos, as obrigações específicas para os diversos envolvidos
no tratamento. (BRASIL, 2018)
Além disso, “indicação das medidas técnicas e de segurança utiliza-

das para a proteção dos dados” (BRASIL, 2018). Tudo isso é indicado
como padrão de privacidade, conforme indicado pela ISO 27002.
60 Cybersecurity
Figura 3
Privacy by design
Photon Photo/Shutterstock
A Autoridade Nacional de Proteção de Dados (ANPD), órgão da admi-
nistração pública federal, integrante da Presidência da República, é res-
ponsável pelo zelo e pela proteção dos dados pessoais, nos termos da
legislação (BRASIL, 2008). São várias as penalidades que podem ser apli-
cadas pela ANPD. Discriminadas no artigo 52 da LGPD, elas variam entre
“advertência, com indicação de prazo para adoção de medidas corretivas,
e multa simples de até 2% (dois por cento) do faturamento da pessoa
jurídica de direito privado, grupo ou conglomerado no Brasil no seu últi-
mo exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00
(cinquenta milhões de reais) por infração” (BRASIL, 2008).
De toda forma, a aplicação de qualquer uma dessas penalidades

pode ter impacto bastante negativo sobre a atividade empresarial, não
somente no aspecto financeiro, mas também na sua reputação. Para a
correta mensuração e aplicação das sanções, a ANPD deverá conside-
rar os seguintes parâmetros da Lei n. 13.709 (BRASIL, 2018):
• A gravidade e a natureza tanto das infrações como dos direitos pes-
soais que sofreram danos.
• A existência de mecanismos internos de correção e proteção de dados.
• A adoção de medidas corretivas.
• Boa-fé.
• A dimensão do dano causado.
• A situação econômica do infrator.

Portanto, a LGPD determina que a ANPD será responsável por edi-
tar a regulamentação sobre sanções administrativas, o que deverá ser
objeto de consulta pública, abrangendo as metodologias que orienta-
rão o cálculo do valor-base das sanções de multa.
5.2 Certificações e carreiras de

Vídeo segurança da informação
Uma das indústrias de maior crescimento é a da área de segurança
cibernética. Todos os dias mais e mais ataques são realizados, o que
nos mostra que mais recursos financeiros serão alocados à área de TI
para melhorar a segurança, e mais profissionais de segurança ciberné-
tica precisarão ser contratados para suportar as organizações. A detec-
ção de intrusões e a prevenção de ameaças em geral fizeram grandes
avanços. O número de ataques usando engenharia social e ataques de
phishing aumentou dramaticamente.
Os CEOs e membros de diretorias devem analisar seriamente o trei-

namento de funcionários já que 82% dos profissionais de TI e segu-
rança cibernética dizem que sua organização não tem o talento que
precisa. A certificação costuma ser a melhor forma de garantir que os
funcionários com quem você trabalha tenham bons conhecimentos e
capacidades em suas atuações.
A Malásia estabeleceu seu próprio organismo de certificação operan-

do sob o “Gerenciamento e Certificação do Sistema de Gerenciamento
de Segurança da Informação da Malásia (CSM27001)”. Ele fornece su-
gestões com base na estrutura do Instituto Nacional de Padrões e Tec-
nologia (NIST) e criou passos rigorosos para empresas parceiras locais,
incluindo uma avaliação geral de todos os graus.
Portanto, se você está estudando este curso e já trabalha na área ou

está contratando novos funcionários ou atualizando as habilidades de
suas equipes, a seguir apresentamos uma lista das melhores certifica-
ções de segurança de TI disponíveis:
• Analista de resposta a incidentes: a palavra incidente ou evento,
como a conhecemos, refere-se a ações que resultam em danos
ou a ameaça significativa de danos aos seus sistemas de compu-
tador ou dados. A procura por incidentes envolve encontrar des-
vios do estado normal da rede e sistemas. Existem vários pontos
62 Cybersecurity
importantes para um manipulador de incidentes que fluem dessa
definição, pois estamos lidando com um dano ou dano potencial,
então nossa tarefa é limitar o dano. Queremos ter cuidado para
escolher cursos de ação que não causem mais danos. O profis-
sional em sua organização pode ter o direito de reparação, mas
há criminosos e recursos de Direito Civil associados a incidentes
de computador. Em qualquer caso, o manipulador de incidentes
deve proceder de uma forma que não impeça o uso das evidên-
cias coletadas em um tribunal.
• Analista de malware: encontrará e analisará amostras de malware
para investigações, mas também lerá relatórios de análise, blogs
e artigos técnicos da internet e outras fontes que discutem
malware e ataques cibernéticos ao redor do mundo.
• Analista de pentester: também conhecido como hacker ético, ou
seja, hackear com permissão do proprietário do sistema. No mun-
do do hacking ético, a maioria tende a usar o termo pentester,
que é a abreviatura de testador de penetração. Os pentesters
penetram nos sistemas como um hacker, mas com propósitos
benignos.
• Analista de red team: um time vermelho é a prática de atacar os
problemas de um ponto de vista adversário. É uma mentalidade
que está acostumada a desafiar uma ideia para ajudar a provar seu
valor, encontrar pontos fracos ou identificar áreas para melhorar.
Quando as pessoas constroem sistemas complexos, o design, as

ideias e a implementação são normalmente executados por pessoas
habilitadas ou profissionais de confiança. Esses indivíduos são muito
respeitados e confiáveis em seu campo e altamente capazes de proje-
tar o desenvolvimento de sistemas funcionais. Embora esses sistemas
sejam altamente funcionais e capazes, ideias, conceitos e pensamentos
às vezes podem ser “encaixotados”, levando a suposições incorretas
sobre como um sistema realmente opera.
Os sistemas são construídos por pessoas, que fazem suposições so-

bre capacidade, funcionalidade e segurança. Essas suposições levam a
falhas da qual uma ameaça pode tirar vantagem, esse é o trabalho que
um time vermelho visa alcançar.
• Analista de blue team: é a função mais importante. Compõe um
time de defensores de uma rede que treina regularmente para
aprimorar suas habilidades de defesa cibernética. Os membros

da equipe azul devem também ter uma ampla variedade de con-
juntos de habilidades, devendo ser composta por profissionais
de diferentes departamentos. Tenha em mente que algumas em-
presas têm uma equipe vermelha/azul dedicada, enquanto ou-
tras não.
Ter a real noção das necessidades dos profissionais que você pre-
cisa na sua empresa te levarão a uma estratégia cibernética para vá-
rios aspectos do ciberespaço. Além de os profissionais atenderem às
necessidades de segurança cibernética de uma entidade, abordando
como os dados, redes, sistemas técnicos e pessoas serão protegidos.
Uma estratégia cibernética eficaz está normalmente no mesmo nível
da exposição ao risco de segurança cibernética de uma entidade. Ele
cobre todos os cenários possíveis de ataque que podem ser visados
por partes mal-intencionadas.
A segurança cibernética tem assumido um papel de destaque na

maioria das estratégias cibernéticas porque as ameaças cibernéticas
estão continuamente se tornando mais avançadas à medida que fer-
ramentas e técnicas de exploração melhores se tornam disponíveis
para os atores da ameaça. Devido a essas ameaças, as organizações
são aconselhadas a desenvolver estratégias cibernéticas que garantam
a proteção de sua infraestrutura cibernética contra diversos riscos e
ameaças, tendo em seu time profissionais qualificados.
Qualquer pessoa que esteja considerando uma carreira em segu-

rança cibernética deve considerar seriamente a obtenção de um diplo-
ma técnico ou de bacharelado em ciência da computação, engenharia
elétrica, tecnologia da informação ou segurança da informação. Muitas
instituições de ensino oferecem cursos especializados e credenciamen-
to na área de segurança.
A programação de computadores é uma habilidade essencial para

quem deseja seguir uma carreira em segurança cibernética. Se você
nunca aprendeu a programar, Python pode ser sua primeira linguagem
a aprender. Python é uma linguagem orientada a objetos de código
aberto comumente usada por analistas de segurança cibernética. É
também uma linguagem de programação popular para sistemas ba-
seados em Linux e redes definidas por software (SDN).
64 Cybersecurity
CONCLUSÃO
A LGPD irá exigir, mais do que nunca, que as empresas busquem a
implementação de programas de compliance e segurança da informa-
ção, não somente para adequação às questões regulatórias e legais, mas
também para dar visibilidade e transparência às questões envolvendo
privacidade e proteção de dados pessoais. São duas frentes que se com-
plementam perfeitamente bem, especialmente porque a LGPD também
consagra em seu texto os princípios da segurança, ética e responsabilida-
de no tratamento de dados pessoais. Além de certificar a transparência,
responsabilidade e confidencialidade no tratamento de dados pessoais e
nos direitos fundamentais dos titulares. Portanto, a empresa deve sempre
pensar em um programa de compliance que traga na estruturação de
seus pilares mecanismos de gestão e proteção de dados pessoais, em
consonância com os requisitos da LGPD.
ATIVIDADES
Atividade 1
Após todo o aprendizado sobre LGPD, classifique quais dados

a seguir são pessoais ou sensíveis.
Atividade LGPD
Dados Pessoal Sensível
Nome
E-mail
CPF
Origem racial
Opinião política
Dados genéticos
Endereço
Dados biométricos
Telefone
Celular
Dados de vida sexual

REFERÊNCIAS
BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Diário Oficial da União, Poder Executivo,
Brasília, DF, 14 ago. 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/L13709.htm. Acesso em: 25 ago. 2021.
BROAD, J.; BINDNER, A. Kali Linux: técnicas práticas para testes de invasão. São Paulo:
Novatec, 2014.
CLARK, B. RTFM: red team field manual. Createspace Independent Publishing Platform,
2014.
solutions – network security secrets and solutions. Nova Iorque: Mcgraw-hill, 2012.
SEITZ, J. Black hat Python: programação Python para hackers e pentesters. São Paulo:
Novatec, 2015.
2014.
66 Cybersecurity
Resolução das atividades
1 Introdução à segurança cibernética
1. Com base no caso do malware stuxnet, responda às perguntas a seguir:
a) Observando o tema ciberguerra, qual foi o objetivo real do

ataque realizado às usinas iranianas?
Prejudicar sistemas de controle industriais amplamente
utilizados, como de energia, água e esgoto.
b) O hacktivismo ou ação hacker é um termo muito usado

atualmente. Qual vetor os atacantes utilizaram para efetuar
a infecção do stuxnet?
O vetor de ataque utilizado pelo stuxnet foi a contaminação
por phishing, usando uma série de ataques em vários estágios,
extraindo arquivos do Windows e transferindo-os para
dispositivos de armazenamento removíveis, como drives USB.
c) Qual é o papel das empresas na segurança do ciberespaço?

Tendo a internet como o campo de batalha utilizado em uma
guerra digital ou cyberwars e levando em consideração que
as empresas de todo o mundo participam desses ambientes,
elas têm que estar preparadas, tendo suas defesas prontas
para suportar e proteger sua infraestrutura.
2 Conceitos de técnicas e ataques

1. Marque a opção correta.
Descrição DoS DDoS
Simples de conduzir X
Origens efetuadas de diversas fontes X

Botnets controladas via C2 X
O ataque é efetuado com pacotes mal formatados X X
O atacante tem uma rede de botnets maliciosas X
Ataque amplamente direcionado, que faz com que a performance da rede seja afetada X

3 Proteção e privacidade de dados
1. Você foi contratado por uma empresa de tecnologia para ser o novo
consultor de segurança da informação. Atualmente ela tem duas
redes Wi-Fi, a primeira com o SSID “EMPRESA ZYX” e a segunda
com o SSID “EMPRESA ZYX GUEST”, e nenhum tipo de segurança
configurado. Como sua primeira atividade, descreva quais tipos de
segurança podem ser aplicados para fortalecer ambas as redes.
Em ambas as redes devem ser efetuados os seguintes passos:
ocultação do SSID, habilitação da senha de acesso e ativação da
criptografia WPA2.
4 Proteção empresarial
1. Agora que você já conhece o processo de como um atacante pensa
para efetuar um ataque cibernético, você irá acessar o site https://
attack.mitre.org/techniques/enterprise/ para encontrar vários
exemplos e classificações de pelo menos um item sobre os tópicos
abaixo:
1. reconhecimento;
2. desenvolvimento de recursos;
3. acesso inicial;
4. execução;
5. persistência;
6. escalonamento de privilégios;
7. evasão de defesa;
8. acesso de credencial;
9. descoberta;
10. movimento lateral;
11. coleção;
12. comando e controle;
13. exfiltração;
14. impacto.
Após classificá-los, enquadre os pontos principais dentro da Cyber
Kill Chain.
1. Reconhecimento: varredura ativa. Os adversários podem executar

varreduras de reconhecimento ativo para coletar informações.
2. Desenvolvimento de recursos: adquirir infraestrutura. Os
adversários podem comprar, arrendar ou alugar infraestrutura, que
pode ser usada durante a segmentação.
68 Cybersecurity
3. Acesso inicial: phishing. Os adversários podem enviar mensagens de
phishing para obter acesso aos sistemas das vítimas.
4. Execução: powerShell. Os adversários podem abusar de comandos e
scripts do PowerShell para execução.
5. Persistência: manipulação de conta. Os adversários podem manipular
contas para manter o acesso aos sistemas das vítimas.
6. Escalonamento de privilégios: Setuid e Setgid.Um adversário pode
executar escapes de shell ou explorar vulnerabilidades em um
aplicativo com os bits setsuid ou setgid para fazer o código rodar em
um contexto de usuário diferente.
7. Evasão de defesa: ignorar controle de conta de usuário. Os
adversários podem ignorar os mecanismos do UAC para elevar os
privilégios do processo no sistema.
8. Acesso de credencial: força bruta. Os adversários podem usar
técnicas de força bruta para obter acesso a contas.
9. Descoberta: conta local. Os adversários podem tentar obter uma
lista das contas do sistema local.
10. Movimento lateral: exploração de serviços remotos. Os adversários
podem explorar serviços remotos para obter acesso não autorizado
a sistemas internos, uma vez dentro de uma rede.
11. Coleção: arquivo de dados coletados. Um adversário pode compactar
e/ou criptografar os dados coletados antes da exfiltração.
12. Comando e controle: protocolos da Web. Os adversários podem se
comunicar usando protocolos de camada de aplicativo associados ao
tráfego da web para evitar a detecção.
13. Exfiltração: exfiltração sobre protocolo alternativo. Os adversários
podem roubar dados exfiltrando-os por meio de um protocolo
diferente daquele do canal de comando e controle existente.
14. Impacto: remoção de acesso à conta. Os adversários podem
interromper a disponibilidade dos recursos do sistema e da rede,
inibindo o acesso às contas utilizadas por usuários legítimos.
5 Futuro da área de cibersegurança

1. Após todo o aprendizado sobre LGPD, classifique quais dados a
seguir são pessoais ou sensíveis:
Atividade LGPD
Nome X
E-mail X
(Continua)

Atividade LGPD
CPF X
Origem racial X
Opinião política X
Dados genéticos X
Endereço X
Dados biométricos X
Telefone X
Celular
Dados de vida sexual X
70 Cybersecurity
Cybersecurity
Cybersecurity
Rafael Santos
Rafael Santos
Código Logístico ISBN 978-85-387-6485-4
I0 0 0 2 5 9 9 788538 764854

Cybersecurity: Rafael Santos

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Cybersecurity: Rafael Santos

Enviado por

Direitos autorais:

Formatos disponíveis

Cybersecurity

Código Logístico ISBN 978-85-387-6485-4

CIP-BRASIL. CATALOGAÇÃO NA PUBLICAÇÃO

1. Segurança do computador. 2. Redes de computadores - Medidas

Todos os direitos reservados.

IESDE BRASIL S/A.

Acesse os vídeos automaticamente, direcionando

Em alguns dispositivos é necessário ter instalado

2 Conceitos de técnicas e ataques 22

3 Proteção e privacidade de dados 33

5 Futuro da área de cibersegurança 56

Resolução das atividades 67

Um invasor quer entender a topologia da sua rede e principalmente

Introdução à segurança cibernética 9

1.1.1 Sua identidade

O ID também pode ser chamado de nickname ou profile, forma

As principais perguntas que devemos nos fazer são: existem leis de

Embora a autenticação multifator esteja ganhando popularidade,

O problema do cenário atual de ameaças de identidade é que

Hoje em dia, os navegadores são a principal plataforma para os

1.2 Dados organizacionais

Introdução à segurança cibernética 11

Segundo McClure, Scambray e Kurtz (2012), a sigla CID para confiden-

Fonte: McClure; Scambray; Kurtz, 2012.

Também entendemos a confidencialidade como privacidade. Ela

A disponibilidade são todos os controles e a mitigação de riscos,

1.2.2 Impactos, violações e exemplos

Os hackers também podem derrubar o site de uma empresa e per-

O custo monetário de uma violação é muito maior do que sim-

Introdução à segurança cibernética 13

O LastPass pode proteger as informações de uma conta no caso de

Os usuários do LastPass são responsáveis ​​por proteger suas pró-

Se os usuários e provedores de serviço usarem ferramentas e pro-

Uma violação pode afetar milhões de clientes em todo o mundo,

Os tablets de brinquedo tornaram-se um novo alvo para os hackers.

As senhas do banco de dados são criptografadas usando hashes

As informações divulgadas na violação de dados podem permitir

Para os pais, esse é um aviso para prestarem mais atenção à pri-

Quando pensamos em uma violação de dados, existe uma associa-

A identidade de um usuário é o novo perímetro. Isso requer con-

Aplicativos, ou apps, são o ponto de entrada para o usuário consu-

Introdução à segurança cibernética 15

Empresas que têm uma equipe de desenvolvedores construindo

Os ataques são realizados com permissão e todos os resultados

Os ataques visam à melhor forma de explorar os alvos interna ou

Introdução à segurança cibernética 17

Por fim, ameaças à segurança externa são constituídas de inva-

1.4 Guerra cibernética (cyber war)

Um exemplo de ataque patrocinado por um país incluiu o malware

O principal objetivo da guerra cibernética é entender que a inteli-

Um país pode invadir continuamente a infraestrutura de outro

Além disso, se dados confidenciais vazarem, um hacker pode

As guerras cibernéticas podem desestabilizar um país, afetar o co-

No início, o propósito não foi totalmente compreendido, mas clara-

Um controlador lógico automatiza as partes mais importantes

Introdução à segurança cibernética 19

Relatórios subsequentes estimam que cerca de um quinto das cen-

Introdução à segurança cibernética 21

Vulnerabilidades são pontos de falhas encontrados em códigos de

2.1 Análise de um ataque cibernético

Conceitos de técnicas e ataques 23

2.2 Tipos de vulnerabilidades de segurança

A vantagem de ter essas informações é que um administrador ou

Os usuários do LastPass são responsáveis por proteger suas pró-

Nos dias atuais, centenas de e-mails são usados para se comuni-