SEGURANÇA EM REDES DE

COMPUTADORES

PALESTRANTE : SAULO PORTO

INFORMAÇÕES PESSOAIS:

PÓS GRADUADO EM ADMINISTRAÇÃO DE REDES LINUX – UFLA

CERTIFICAÇÃO LPI 1 – LINUX PROFESSIONAL
ESPECIALISTA EM SEGURANÇA FREEBSD – FREEBSD BRASIL
ESPECIALISTA EM PENTEST – 4 LINUX
ESPECIALISTA EM ANÁLISE E TESTES DE VULNERABILIDADES– 4LINUX
SEGURANÇA DA INFORMAÇÃO
SIGNIFICADO DE SEGURANÇA:

• CONDIÇÃO OU ESTADO DE ESTAR SEGURO

• CAPACIDADE DE MANTER SEGURO
• PROTEÇÃO CONTRA FUGA OU ESCAPE
• CONFIANÇA EM SI MESMO
SEGURANÇA DA INFORMAÇÃO
SIGNIFICADO DE INFORMAÇÃO SEGUNDO A NORMA ISO
27001[2]

• “INFORMAÇÃO É UM ATIVO QUE COMO

QUALQUER OUTRO ATIVO IMPORTANTE, É
ESSENCIAL PARA OS NEGÓCIOS DA EMPRESA E
CONSEQUENTEMENTE NECESSITA SER
ADEQUADAMENTE PROTEGIDA”
SEGURANÇA DA INFORMAÇÃO
NORMAS E PADRÕES

• ISO 27001
• NBR ISO/IEC 17790
• BASILEIA
• PCI-DSS
• ITIL
SEGURANÇA DA INFORMAÇÃO
POR QUE PRECISAMOS DE SEGURANÇA

• EVOLUÇÃO DA TECNOLOGIA
• AUMENTO DO USO DE REDES E INTERLIGAÇÕES
• MENOS CONHECIMENTO PARA ATACAR
• AUMENTO DA COMPLEXIDADE:
• INFRA ESTRUTURA DE REDES
• GERENCIAMENTO E ADMINISTRAÇÃO
SEGURANÇA DA INFORMAÇÃO
PRINCIPIOS BÁSICOS

• CONFIDENCIALIDADE
• INTEGRIDADE
• DISPONIBILIDADE
• AUTENCIDADE
• LEGALIDADE
SEGURANÇA DA INFORMAÇÃO
PRINCIPIOS BÁSICOS

• É IMPORTANTE SABER EQUILIBRAR O NÍVEL DE

SEGURANÇA COM A FUNCIONALIDADE E
FACILIDADE DE USO DO SISTEMA, POIS O MAIS
IMPORTANTE PARA A EMPRESA É O NEGÓCIO E
A SEGURANÇA EXISTE PARA PROTEGER O
NEGÓCIO E NÃO ATRAPALHÁ-LO
SEGURANÇA DA INFORMAÇÃO
TRIANGULO DA SEGURANÇA DA INFORMAÇÃO

• SEGURANÇA
• FACILIDADE
• FUNCIONALIDADE
SEGURANÇA DA INFORMAÇÃO

DÚVIDAS ???
SEGURANÇA DA INFORMAÇÃO
ALGUNS CONCEITOS

• VULNERABILIDADE
• AMEAÇA
• RISCO
• ATAQUE
• EXPLOID
SEGURANÇA DA INFORMAÇÃO
VULNERABILIDADE

• FRAGILIDADE QUE PODE FORNECER UMA

PORTA DE ENTRADA A UM ATAQUE
• EXEMPLO
• USO DE PROTOCOLOS INSEGUROS
• USO DE SENHA EM TEXT PLAIN
• SOFTWARE COM BUGS
SEGURANÇA DA INFORMAÇÃO
AMEAÇA

• AGENTE OU AÇÃO QUE SE APROVEITA DE UMA

VULNERABILIDADE
• EXEMPLO
• FUNCIONÁRIO INSATISFEITO
• CRACKERS MOTIVADOS POR DINHEIRO,
OU SATISFAÇÃO PESSOAL
SEGURANÇA DA INFORMAÇÃO
AMEAÇA

• DOIS TIPOS:
• FISICAS
• DESABAMENTO
• RAIO
• ALAGAMENTO
• ACESSO INDEVIDO DE PESSOAS
SEGURANÇA DA INFORMAÇÃO
AMEAÇA

• DOIS TIPOS:
• LÓGICAS
• INFECÇÃO POR VIRUS
• ACESSO REMOTO A REDE
• VIOLAÇÃO DE SENHAS
• CAPTURA DE TRÁFEGO
SEGURANÇA DA INFORMAÇÃO
RISCO

• É UM CALCULO QUE CONSIDERA O NÍVEL DE

IMPACTO E A PROBABILIDADE DA AMEAÇA
OCORRER
• EXEMPLO
• UM FUNCIONARIO INSATISFEITO -> A SALA
DE T.I ABERTA -> O SERVIDOR LIGADO JÁ
COM A SENHA DIGITADA …
 SEGURANÇA DA INFORMAÇÃO
ATAQUE

• INCIDENCIA DA UMA AMEAÇA SOBRE A

VULNERABILIDADE
• EXEMPLO
• FUNCIONARIO INSATISFEITO ENTRANDO NA
SALA DE TI APAGANDO DADOS
 SEGURANÇA DA INFORMAÇÃO
ATAQUE

• DOIS TIPOS
• INTERNO
• FUNCIONÁRIOS INSATISFEITOS
• FUNCIONÁRIOS DESPREPARADOS
• ESPIONAGEM
 SEGURANÇA DA INFORMAÇÃO
ATAQUE

• DOIS TIPOS
• EXTERNO
• CRACKER´S
• CONCORRENTES
• ESPIONAGEM
 SEGURANÇA DA INFORMAÇÃO
EXPLOIT

• PROGRAMA CAPAZ DE ESPLORAR UMA

VULNERABILIDADE
• EXEMPLO
• www.packetstormsecurity.org
SEGURANÇA DA INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO
MECANISMOS DE SEGURANÇA

CONTROLES FÍSICOS
• PORTAS
• TRANCAS
• PAREDES
• BLINDAGEM
• GUARDAS
• CÂMERAS
SEGURANÇA DA INFORMAÇÃO
MECANISMOS DE SEGURANÇA

CONTROLES LÓGICOS
• CRIPTOGRAFIA
• FIREWALL
• ANTI VIRUS
• IDS / IPS / ADS
• ANTI SPAM
SEGURANÇA DA INFORMAÇÃO
MECANISMOS DE SEGURANÇA

SERVIÇOS PARA CONTROLE DA SEGURANÇA

• CRIAÇÃO DE POLÍTICAS DE SEGURANÇA
• HARDENING DE SERVIDORES
• ANÁLISE DE VULNERABILIDADES
• TESTE DE INTRUSÃO ( PENTEST )
• ANÁLISE DE APLICAÇÃO
• PERÍCIA COMPUTACIONAL
• TREINAMENTO DE COLABORADORES
SEGURANÇA DA INFORMAÇÃO

DÚVIDAS ???
SEGURANÇA DA INFORMAÇÃO
TESTE DE INTRUSÃO

• “É O PROCESSO DE ANÁLISE DETALHADA

DO NIVEL DE SEGURANCA DE UM
SISTEMA OU REDE USANDO A
PERSPECTIVA DE UM INFRATOR”
SEGURANÇA DA INFORMAÇÃO
TESTE DE INTRUSÃO

OBJETIVO:
• SIMULAR DE FORMA CONTROLADA UM ATAQUE
REAL QUE NORMALMENTE OCORRE ,
GARANTINDO DESSA FORMA QUE SEJA
DEFINIDO PROCESSO DE PREVENÇÃO
SEGURANÇA DA INFORMAÇÃO
TESTE DE INTRUSÃO

OSSTMM (OPEN SOURCE SECURITY TESTING METHODOLOGY MANUAL) :

• O TESTE DE SER CONDUZIDO A EXAUSTÃO
• CONTEMPLAR TODOS OS ITENS
• NÃO FERIR DIREITOS HUMANOS
• RESULTADOS QUANTIFICAVEIS
• RESULTADOS CONSISTENTES
• CONTER APENAS RESULTADOS DOS TESTES
SEGURANÇA DA INFORMAÇÃO
TESTE DE INTRUSÃO

OSSTMM (OPEN SOURCE SECURITY TESTING METHODOLOGY MANUAL) :

• O TESTE DE SER CONDUZIDO A EXAUSTÃO
• CONTEMPLAR TODOS OS ITENS
• NÃO FERIR DIREITOS HUMANOS
• RESULTADOS QUANTIFICAVEIS
• RESULTADOS CONSISTENTES
• CONTER APENAS RESULTADOS DOS TESTES
SEGURANÇA DA INFORMAÇÃO
TESTE DE INTRUSÃO

0 DAY :
• EXPLOIT PARA UMA FALHA QUE NÃO É DE
CONHECIMENTO PÚBLICO
• DIFÍCIL PROTEÇÃO
• PESQUISADO POR HACKERS, CRACKERS
• VENDIDO E COMPRADO A EMPRESAS
• VALORES DE POUCOS DOLÁRES A MILHARES
SEGURANÇA DA INFORMAÇÃO
TESTE DE INTRUSÃO

0 DAY :
• EXPLOIT PARA UMA FALHA QUE NÃO É DE
CONHECIMENTO PÚBLICO
• DIFÍCIL PROTEÇÃO
• PESQUISADO POR HACKERS, CRACKERS
• VENDIDO E COMPRADO A EMPRESAS
• VALORES DE POUCOS DOLÁRES A MILHARES
SEGURANÇA DA INFORMAÇÃO

DÚVIDAS ???
SEGURANÇA DA INFORMAÇÃO

TÉCNICAS DE INVASÃO
SEGURANÇA DA INFORMAÇÃO
ATAQUES A SERVIÇOS

• SSA (SERVER SIDE ATTACK ) : ATAQUE AO

SERVIDOR, EXPLORAR FALHAS DE SERVIÇOS
• SERVIDOR WER, DNS, EMAIL …

• CSA (CLIENT SIDE ATTACK ) : ATAQUE AO

CLIENTE, EXPLORAR FALHAS DE APLICAÇÕES
• NAVEGADOR WEB, EDITOR DE TEXTO …
SEGURANÇA DA INFORMAÇÃO
BRUTE FORCE

• TÉCNICA DE TENTATIVA E ERRO ATRAVÉS DE

TESTES CONCECUTIVOS
• É UMA DAS TÉCNICAS MAIS CONHECIDAS
• PODE-SE USAR UMA WORD LIST
• OBJETIVA TER ACESSO
SEGURANÇA DA INFORMAÇÃO
ATAQUE DoS

• TÉCNICA DE NEGAÇÃO DE SERVIÇO

• PROVOCA UMA INDISPONIBILIDADE
TEMPORARIA OU PERMANENTE
• PODE SER APLICADO EM UM UNICO SERVIÇO
OU UMA REDE
SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL

• TÉCNICA DE ENGANAR PESSOAS

• CONSEGUE INFORMAÇÕES SEM ACESSAR UMA
REDE OU SERVIDOR

DUMPSTER DIVING
• TÉCNICA DE VASCULHAR LIXO
SEGURANÇA DA INFORMAÇÃO
EXPLOITS

• TÉCNICA QUE USA AS VULNERABILIDADES DE

UM SOFTWARE
• EXPLORA UMA FALHA DE BUFFER OVERFLOW
SEGURANÇA DA INFORMAÇÃO
SNIFFER

• TÉCNICA QUE CAPTURA INFORMAÇÕES NA

REDE
• PODE CAPTURAR DADOS EM TEXT PLAN OU
CRIPTOGRAFADO
• DIFERENÇA ENTRE HUB E SWITCH
SEGURANÇA DA INFORMAÇÃO
GOOGLE HACKING

• TÉCNICA QUE USA RECURSOS DE BUSCA DO

GOOGLE PARA CONSEGUIR INFORMAÇÕES
• UM SERVIÇO MAL CONFIGURADO PODE EXPOR
INFORMAÇÕES
• PORQUE USAMOS ??????
• PORQUE ALÉM DE UTIL É DIVERTIDO
SEGURANÇA DA INFORMAÇÃO
EXEMPLOS GOOGLE HACKING

•RESTRINGIR BUSCA A UM DOMINIO

• site:dominio.com.br busca
• MOSTRA INFORMACOES SOBRE UMA PAGINA
• info:dominio.com.br
•MOSTRA A ULTIMA VERSÃO EM CACHE
• cache:dominio.com.br busca
SEGURANÇA DA INFORMAÇÃO
EXEMPLOS GOOGLE HACKING

•PROCURA TERMOS DENTRO DA PÁGINA

• intext:dominio.com.br busca
•PROCURA ARQUIVOS COM EXTENSÃO DEFINIDA
• ext:doc busca
•BUSCA TELEFONES POR NOME
• phonebook:nome
SEGURANÇA DA INFORMAÇÃO
BACKTRACK

•LIVE CD BASEADO EM LINUX COM FERRAMENTAS

PARA ATAQUES

•SITE : WWW.BACKTRACK.COM.BR