Segurança da Informação

Introdução
O aumento do número de ataques a sistema de computadores vem crescendo diariamente.

Isso acontece por que os sistemas não são desenvolvidos de forma segura, ou seja os sistemas possuem falhas de segurança de fábrica

A computação forense vem de encontro ao que diz respeito ao descobrir o que, onde e como foi feita tal invasão.

Sinais de invasões
- Hackers Habilidosos.
- Hackers Iniciantes.
- Novos Usuários no Sistema.
- Execução de processos estranhos.
- Utilização Inexplicável da CPU.
- O Ambiente parece estranho.

Como identificar os atacantes
Existem dois perfis básicos de atacantes, são eles:

Internos:
- Questões pessoais
- Acesso a recursos privilegiados
- Vantagens Financeiras

Externos:
- Vandalismo
- Auto-Afirmação
- Busca por reconhecimento

Ameaças
- Fácil acesso às ferramentas
- Os Script Kiddies procuram por vulnerabilidade
- Não existe horário definido para ser alvo de um ataque, ou mesmo de um scan

Técnicas para perícia
a) Auditoria de logs dos aplicativos dos sistemas.
b) Análise de arquivos e diretórios incluindo o nome de arquivos deletados.
c) Visualização do conteúdo de arquivos suspeitos.
d) Datas de arquivos acessados, alterados e deletados.
e) Seqüência de eventos.
f) Efetuar análise física e lógica em cima dos dados levantados nas etapas antecessoras sem alterar o conteúdo original.

Análise física
a) São investigados os dados brutos da mídia de armazenamento.
b) Análise é feita em cima da imagem pericial ou na cópia restaurada das provas.
c) Dados comumente investigados:
- Todas as urls encontradas na mídia.
- Todos os endereços de e-mail encontrados na mídia.
- Todas as ocorrências de pesquisa de sequencia com palavras sensíveis a caixa alta e baixa.

Análise lógica
a) Erros comumente cometidos.
b) Como efetuar a análise lógica sem alterar os dados?

Análise de logs
a) Extremamente importante que a cultura de auditoria de logs esteja disseminada entre os administradores da rede.
b) Para rastrear os fatos é importante que o profissional atue com um espião e não veja os dados como um usuário.
c) Para isso, é necessário que ele reconstrua construa os históricos dos:
- Usuários
- Processos
- Situação da Rede
- Acesso a Serviços

Análise de tráfego
O processo de arquivamento do tráfego de rede com auxílio de ferramentas de captura de pacotes gera a primeira camada de informação forense: isto é, a carga de tráfego com o passar do tempo.

Obtenção de evidências
a) Grande aumento no número de fraudes e crimes eletrônicos com o passar do tempo.
b) Identificação
c) Preservação
d) Análise
e) Apresentação

Exemplo prático: Investigando um servidor Web
a) Tipos de ataque:
- Negação de serviço
- Site defacement
- Roubo de produto ou informação
b) Métodos para investigação de um possível ataque.

Principais entidades
- IOCE (International Organization on Computer Evidence);
- HTCIA (High Technology Crime Investigation Association);
- SWGDE (Scientific Working Group on Digital Evidence);
- IACIS(International Associantion of Computer investigatibe specialists);
- SACC (Seção de Apuração de Crimes por Computador);

Principais entidades no Brasil
- NBSO(Network Information Center(NIC) - Brazilian Security Office);
- CAIS(Centro de Atendimento a Incidentes de Segurança);
- GT-S(Grupo de Trabalho em segurança do comitê gestor da internet brasileira)

Carreira
- Perito Criminal
- Consultor Independente
- Funcionário público

Conclusão
A melhor solução para evitar o acesso indevido a informação é implementar sempre uma política clara e concisa de uso e de auditoria (Constante) do sistema.

A análise forense computacional vem a auxiliar na descoberta de falhas de segurança, a fim de que possam ser tomadas de falhas de segurança, a fim de que possam ser tomadas as providências para sanar tais falhas e identificar os culpados.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Muitas pessoas se perguntam sobre como solucionar problemas com pendrives inacessíveis ou queimados e a solução nem sempre é jogar o dito cujo fora.

Primeira dica: Compre pendrives de marcas de confiança, como Kingston, Sony ou SanDisk. Existem pendrives Kingston genéricos sendo vendidos no mercado. O verdadeiro Kingston dá 5 anos de garantia contra defeitos de fábrica, independente da garantia dada pelo vendedor.

Segunda dica: Não plugue o seu pendrive nas entradas USB frontais de computadores desconhecidos. Estas entradas frontais são extensões ligadas por fios na placa mãe e caso algum destes fios esteja ligado de maneira errada, pode causar um curto no pendrive e queimá-lo. As entradas frontais de computadores de grife como Dell e HP costumam ser confiáveis, mas prefira as entradas traseiras que são ligadas diretamente na placa mãe e não oferecem tanto perigo.

Preciso desmontar a unidade no Windows antes de desplugar o pendrive do micro? Se nenhum arquivo estiver sendo acessado dentro do pendrive e a luz de indicação do mesmo estiver apagada, não é preciso desmontar a unidade. Essa conversa de que desplugar o pendrive sem desmontar a unidade queima o aparelho é conversa fiada, do tempo do Windows98. Tenho um pendrive a 3 anos e nunca desmontei sua unidade antes de removê-lo e ele cotinua intacto.

Terceira dica: Evite usar MP3 Players como pendrives. As memórias destes aparelhos, principalmente dos modelos estilo “chaveirinhos” são de péssima qualidade e possuem uma curta vida útil. Caso você carregue arquivos importantes que precisam ser constantemente acessados, tenha um pendrive e um MP3 Player.

Quarta dica: Os vírus e trojans da atualidade adoram pendrives. Tenha sempre um anti-vírus atualizado e passe-o sempre que o seu pendrive for conectado em computadores susteitos. Desative a execução automática e faça uma varredura antes de usá-lo.

Pendrive inacessível: Acontece quando plugamos o pendrive e ele é reconhecido pelo Windows, mas ao tentarmos acessá-lo, ele pede para ser formatado. Na maioria dos casos isso ocorre porque o sistema de arquivos do pendrive foi corrompido, muitas vezes por vírus.

Se você possui algum arquivo que não pode ser perdido, tente abrir o pendrive em algum sistema não Windows, como o Linux. Em alguns casos funciona e os arquivos inacessíveis ficam disponíveis para serem salvos. Infelizmente na maioria dos casos, apenas uma formatação do pendrive pode retorná-lo ao seu estado de uso original.

Pendrive não pode ser formatado: Existem casos mais graves onde ao tentarmos formatar o pendrive, aparece a mensagem de disco protegido contra gravação. Como nestes casos a formatação não é possível, muita gente joga o pendrive fora.

Se você já perdeu um pendrive desse modo, você agora ficará bravo, pois saiba que existe uma solução. A Apacer, fabricante de chips de memória disponibiliza em seu site ferramentas que possibilitam o destravamento do chip de memória para que ele possa ser formatado novamente e recuperado.

A ferramente mais usada é o USB Utility Repair, que apesar de ser desenvolvido para os chips de memória da empresa, funciona praticamente em qualquer outra marca de pendrive.

1. Faça o download da ferramenta e instale-a no micro.

2. Execute o programa e mande-o formatar o pendrive. Note que após a formatação, a unidade ainda não estará acessível pelo Windows.

3. Faça a formatação novamente, desta vez pelo método normal utilizando o Windows e o pendrive não estará mais protegido contra gravação.

Pronto! O seu pendrive dado como morto estará pronto para encarar novos desafios. Caso a ferramenta não funcione com o seu modelo de pendrive, entre na seção de downloads no site da Apacer, mude o Download Type para Utility e aparecerão diversas outras versões do Repair Tool, basta testá-las e encontrar a que consiga formatar o seu pendrive.

Pendrive queimado: Conecto o meu pendrive em vários computadores diferentes, em nenhum deles o dispositivo é reconhecido e a luz de indicação nem acende, e agora?

Provavelmente o seu pendrive sofreu alguma descarga elétrica mais forte (curto-circuito) e queimou. Este sim é o momento de planejar o velório do seu companheiro, pois apesar de alguns tutoriais na internet tentarem reviver pendrives queimados, o processo é complicado para pessoas leigas, devendo ainda funcionar em apenas casos muito específicos, ou seja, nada que vale a pena tentar.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Todas as pragas

Vírus: Arquivo que possui instruções em seu código para causar dano à sistemas operacionais, os níveis de dano podem ser até a destruição completa do sistema, inclusive à bios do mesmo. Ex: Vírus Chernobyl.

Adware: programa que se instala praticamente sem a percepção do usuário, sem a permissão do mesmo, promete alguma utilidade, mas, na verdade sua intenção é espionar os hábitos do usuário, traçando um perfil do mesmo, para a Empresa responsável pelo mesmo lhe enviar Spams.

Trojan: (CAVALO DE TRÓIA) uma das mais perigosas pragas existentes, sua função é espionar o usuário em tudo o que faz, e transmitir as informações:
Senhas, E-mail, Login etc., para o Cracker que o enviou. Esta PRAGA, costuma vir em E-mails ou mesmo em programas, muito bem disfarçada, e até existem técnicas para camuflar o Trojan tornando-o indetectável pelo Antivírus ou mesmo outro programa de Defesa.

Worm: VERME, uma variação de vírus com TROJAN, é altamente nocivo e possui instruções para alterar, destruir e se executar em determinado tempo, que pode ser semana, mês, dia e até hora marcadas para sua execução. É uma das mais perigosas PRAGAS existentes. Vêem camuflados e não é fácil sua detecção.

Hijacker: Sua função é alterar a navegação do Browser para sites pre-selecionados, muitas vezes sites pornô; o objetivo principal desta praga é controlar a navegação do usuário traçando o perfil do mesmo para lhe enviar Spam, objetivo principal comercial,outro espionagem.

Keylogger: Praga enviada para monitorar tudo o que é digitado pelo usuário, tanto localmente e principalmente quando o mesmo está on-line, e enviar os dados capturados para o atacante que instalou o Keylogger. O mesmo pode ser instalado tanto a distância como também presencialmente. Todo o cuidado com esse malware é pouco, ele pode capturar às telas e janelas do sistema também.
Essas PRAGAS, estão em todo o Planeta e podem ser enviadas por E-mail, ou mesmo vir disfarçadas em programas aparentemente inocentes.

BackDoor: Uma das piores pragas. Pode ser instalado tanto presencialmente como remotamente, a distância. Sua função abrir portas de comunicação sem o conhecimento do usuário, para que através delas, o mesmo sofra uma invasão ou um ataque. Pode ser usado para a ESPIONAGEM também, e informar ao atacante todos os movimentos da sua vítima. Pode vir disfarçado, burlar o Antivírus e o Firewall e sua detecção não é fácil. O nome se refere a abrir porta de comunicação nos bastidores do sistema, e através dela facilitar a invasão e controle remoto do mesmo, visando inúmeros fins nocivos.

Bots e Botnets: Também extremamente perigosos e difíceis de serem detectados, são na verdade também Rootkits – arquivos maliciosos que vêm com outros programas – aparentemente inofensivos. Mexem no registro do Sistema, alteram parâmetros, e conseqüentemente causam anomalias no sistema. São bastante perigosos e difíceis de detectar. A espionagem também é um dos seus atributos, para envio de Spam, Controle Remoto do Sistema e outros mais perigosos e destrutivos.

RootKits: Arquivos que possuem funções para alterar a navegação do usuário, alteram o controle e comportamento do Registro e de parâmetros do sistema com o intuito de espionagem, alteração da navegação do Browser e também funções de destruição do mesmo, sua instalação é bem camuflada e de difícil percepção, são arquivos bem pequenos.

Exploits: Talvez o mais perigoso do momento, porquê é um programa ou mesmo uma série de códigos enviados ao sistema, que são preparados para explorar vulnerabilidades dos mesmos. Bugs em Sistemas, Protocolos, serviços ou falhas em Browser, falta de atualização propiciam a possibilidade, de se alterar parâmetros e mesmo o controle do sistema, permitindo o controle remoto do mesmo, a alteração do Registro do Sistema e até à sua própria destruição ou instalação de um Backdoor ou Trojan, por exemplo.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Para muitos o termo Hacker é assustador, e representa um individuo símbolo do vilão cibernético.

Originalmente, e para certos segmentos de programadores, são hackers indivíduos que elaboram e modificam software e hardware de computadores, seja desenvolvendo funcionalidades novas, seja adaptando as antigas. Originário do inglês, o termo é comumente utilizado no português sem modificação. Na língua comum o termo designa programadores maliciosos e ciberpiratas que agem com o intuito de violar ilegal ou imoralmente sistemas cibernéticos.

Existem várias histórias de hackers, a lenda diz que o mais habilidoso dos hackers nunca seja conhecido. Aqueles que ficaram famosos, são em geral, os que falharam e acabaram indo parar na cadeia.

Se você ainda não conhece alguns dos mestre desse mundo confira a lista dos cinco hackers mais famosos de todos os tempos!

Jonathan James - James ganhou notoriedade quando se transformou no primeiro jovem a ser preso por “hackear”. Foi sentencia aos 16 anos à detenção. Em uma entrevista bem humorada, ele confessou: “O divertimento para mim era superar os desafios que poderia encontrar”. James foi condenado a seis meses de detenção por hackear computadores do Pentágono e NASA. Conhecido como “cOmrade” (”Camarada” em português) na Internet, alegou ser culpado de interceptar 3,300 mensagens de e-mail de um Departamento de defesa dos EUA e dados roubados de 13 computadores da NASA, incluindo alguns dedicados para a nova Plataforma Espacial Internacional.

Adrian Lamo - um conhecido hacker norte-americano que admitiu ter penetrado em sistemas de sites tão populares como o Yahoo! ou o New York Times. Foi quando ele invadiu o New York Times, que a coisa ficou séria, ele foi pego e teve que pagar uma pequena bagatela de aproximadamente $65.000 e condenado a 6 meses de prisão.

Kevin Mitnick - Ele se auto declarava como “hacker poster boy”. O Departamenteo de justiça americano descreve ele como “o criminoso mais querido da história dos EUA”. Suas façanhas viraram dois filmes: Freedom DownTime e Takedown.Tornou-se celebridade aos 17 ao invadir o sistema do Comando de Defesa Aérea dos Estados Unidos. Antes de completar 18 anos já estampava páginas de jornais e revistas com uma habilidade incomum e inédita para a época: destrinchar complexos programas de computador. O mais famosos dos Hackers chegou a roubar 20.000 números de cartões de crédito e passeava pelo sistema telefônico com total desenvoltura. Foi o primeiro hacker a entrar para a lista dos dez criminosos mais procurados pelo FBI.

A brincadeira tomou proporções perigosas quando desafiou gigantes da tecnologia como Motorola, Nokia, Novell e Sun Microsystem.Depois de quatro anos na prisão. Mitnick está agora em liberdade!

Kevin Poulsen - Conhecido também como Dark Dante, Pousen ganhou status quando assumiu o controle de todas as ligações da radio KISS FM de Los Angeles, que estava oferecendo um Porsche para o autor da 102º chamada telefônica do dia. Inevitávelmente ele levou o ambicioso prémio. Poulsen passou quatro anos na prisão e hoje é diretor do site Security Focus!

Robert Tappan Morris - Criador de um worm, uma rotina que consistia de menos de 100 linhas de códigos escritos em linguagem C que desencadeou na internet e atingiu quase 6.000 servidores, só nos EUA, causando infecção, sobrecarga e incapacitação. Isso levantou na época uma questão básica: as redes são vulneráveis!

Todos esses hackers renomados são denominados black-hats crackers, Black-hats são especialistas em segurança que utilizam seus conhecimentos para invadir sistemas e roubar informações. Eles descobrem falhas de segurança em computadores alheios e criam sistemas para explorá-las.

Alguns black-hats agem para obter retorno financeiro, outros simplesmente porque gostam do que fazem e alguns por acreditarem que os problemas de segurança, de alguma forma, incentivam as empresas a dar mais atenção aos seus sistemas informatizados.

Saiba mais…………….

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Invasão é a entrada em um site, servidor, computador ou serviço por alguém não autorizado. Mas antes da invasão propriamente dita, o invasor poderá fazer um teste de invasão, que é uma tentativa de invasão em partes, onde o objetivo é avaliar a segurança de uma rede e identificar seus pontos vulneráveis.

Mas não existe invasão sem um invasor, que pode ser conhecido, na maioria das vezes, como Hacker ou Cracker. Ambos usam seus conhecimentos para se dedicarem a testar os limites de um sistema, ou para estudo e busca de conhecimento ou por curiosidade, ou para encontrar formas de quebrar sua segurança ou ainda, por simples prazer.

Mas também pode ser por mérito, para promoção pessoal, pois suas descobertas e ataques são divulgados na mídia e eles se tornam conhecidos no seu universo, a diferença é que o Cracker utiliza as suas descobertas para prejudicar financeiramente alguém, em benefício próprio, ou seja, são os que utilizam seus conhecimentos para o mau.

Existem muitas ferramentas para facilitar uma invasão e a cada dia aparecem novidades a respeito. Abaixo serão descritas algumas das mais conhecidas.

Spoofing

Nesta técnica, o invasor convence alguém de que ele é algo ou alguém que não é, sem ter permissão para isso, conseguindo autenticação para acessar o que não deveria ter acesso, falsificando seu endereço de origem. É uma técnica de ataque contra a autenticidade, onde um usuário externo se faz passar por um usuário ou computador interno.

Sniffers

Sniffer é um programa de computador que monitora passivamente o tráfego de rede, ele pode ser utilizado legitimamente, pelo administrador do sistema para verificar problemas de rede ou pode ser usado ilegitimamente por um intruso, para roubar nomes
de usuários e senhas. Este tipo de programa explora o fato dos pacotes das aplicações TCP/IP não serem criptografados.

Entretanto, para utilizar o sniffer, é necessário que ele esteja instalado em um ponto da rede, onde passe tráfego de pacotes de interesse para o invasor ou administrador.

Ataque do tipo DoS - Denial of Service

É um ataque de recusa de serviço, estes ataques são capazes de tirar um site do ar, indisponibilizando seus serviços. É baseado na sobrecarga da capacidade ou em uma falha não prevista.

Um dos motivos para existirem esse tipo de falha nos sistemas é um erro básico de programadores, na hora de testar um sistema, muitas vezes, eles não testam o que acontece se um sistema for forçado a dar erro, se receber muitos pacotes em pouco tempo ou se receber pacotes com erro, normalmente é testado o que o sistema deveria fazer e alguns erros básicos. O invasor parte deste princípio e fica fazendo diversos tipos de testes de falhas, até acontecer um erro e o sistema parar.

Este tipo de ataque não causa perda ou roubo de informações, mas é um ataque preocupante, pois os serviços do sistema atacado ficarão indisponíveis por um tempo indeterminado, dependendo da equipe existente na empresa para disponibilizá-lo novamente e dependendo do negócio da empresa, este tempo de indisponibilidade pode trazer muitos prejuízos.

De acordo com um estudo da Universidade da Califórnia, Crackers tentam realizar em torno de 15 mil ataques do tipo DoS por semana. Os alvos mais comuns são grandes empresas.

Ataque do tipo DDoS – Distributed Denial of Service

São ataques semelhantes ao DoS, tendo como origem diversos e até milhares de pontos disparando ataques DoS para um ou mais sites determinados. Para isto, o invasor coloca agentes para dispararem o ataque em uma ou mais vítimas. As vítimas são
máquinas escolhidas pelo invasor por possuírem alguma vulnerabilidade. Estes agentes, ao serem executados, se transformam em um ataque DoS de grande escala. Uma ferramenta chamada DDoS Attack, desenvolvida pelo programador brasileiro que se intitula OceanSurfer, é capaz de causar negação de serviços em computadores na Internet através de uma inundação de conexões em determinada porta.

Quebra de Senhas

Para acessar algo é necessário uma senha de acesso, muitos invasores tentam quebrar estas senhas através de técnicas de quebras de senhas, como tentar as senhas padrões de sistemas ou as senhas simples como nomes pessoais, nome da empresa, datas, entre outros. Mas para facilitar a descoberta da senha, existem diversos programas, como dicionários de senhas e programas que tentam todas as combinações possíveis de caracteres para descobrir a senha.

Vírus

O vírus de computador é outro exemplo de programa de computador, utilizado maliciosamente ou não, que se reproduz embutindo-se em outros programas. Quando estes programas são executados, o vírus é ativado e pode se espalhar ainda mais, geralmente danificando sistemas e arquivos do computador onde ele se encontra. Um exemplo deste tipo de programa é o Worm, criado por Robert Morris.

Os vírus não surgem do nada, ou seja, seu computador não tem a capacidade de criar um vírus, quem cria os vírus são programadores de computador mal intencionados.

Para que o vírus faça alguma coisa, não basta você tê-lo em seu computador. Para que ele seja ativado, passando a infectar o micro, é preciso executar o programa que o contém. E isto você só faz se quiser, mesmo que não seja de propósito. Ou seja, o vírus só é ativado se você der a ordem para que o programa seja aberto, por ignorar o que ele traz de mal pra você. Se eles não forem “abertos”, “executados”, o vírus simplesmente fica alojado inativo, aguardando ser executado para infectar o computador.

Após infectar o computador, eles passam a atacar outros arquivos. Se um destes arquivos infectados for transferido para outro computador, este também vai passar a ter um vírus alojado, esperando o momento para infectá-lo, ou seja, quando for também executado. Daí o nome de vírus, devido à sua capacidade de auto-replicação, parecida com a de um ser vivo.

Por que os vírus são escritos ? Esta pergunta foi feita na convenção de Hackers e fabricantes de vírus na Argentina. As respostas seguem abaixo:
· Porque é divertido;
· Para estudar as possibilidades relativas ao estudo de vida artificial (de acordo com a frase de Stephen Hawkind: “Os vírus de computador são as primeiras formas de vida feitas pelo homem” ). Esta proposta é seguida por vários cientistas.
· Para descobrir se são capazes de fazer isso, tentando seus conhecimentos de computação, ou para mostrarem aos colegas que são capazes de fazer;
· Para conseguir fama;
· Fins militares. Falou-se sobre isso na primeira Guerra do Golfo, em 1991, e os vírus para uso militar são uma possibilidade.

Trojans

A denominação “ Cavalo de Tróia” (Trojan Horse) foi atribuída aos programas que permitem a invasão de um computador alheio com espantosa facilidade. Nesse caso, o termo é análogo ao famoso artefato militar fabricado pelos gregos espartanos. Um
“amigo” virtual presenteia o outro com um “ presente de grego” , que seria um aplicativo qualquer. Quando o leigo o executa, o programa atua de forma diferente do que era esperado.

Ao contrário do que é erroneamente informado na mídia, que classifica o Cavalo de Tróia como um vírus, ele não se reproduz e não tem nenhuma comparação com vírus de computador, sendo que seu objetivo é totalmente diverso. Deve-se levar em consideração, também, que a maioria dos antivírus fazem a sua detecção e os classificam como tal. A expressão “ Trojan” deve ser usada, exclusivamente, como definição para programas que capturam dados sem o conhecimento do usuário.

O Cavalo de Tróia é um programa que se aloca como um arquivo no computador da vítima. Ele tem o intuito de roubar informações como passwords, logins e quaisquer dados, sigilosos ou não, mantidos no micro da vítima. Quando a máquina contaminada por um Trojan conectar-se à Internet, poderá ter todas as informações contidas no HD visualizadas e capturadas por um intruso qualquer. Estas visitas são feitas imperceptivelmente. Só quem já esteve dentro de um computador alheio sabe as possibilidades oferecidas.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/