Segurança da Informação

O que São Bots e o que é e como é formada uma botnet?
Uma botnet é uma rede de máquinas infectadas por bots. Bots são softwares maliciosos que se espalham de maneira autônoma (tal como um worm), aproveitando vulnerabilidades que podem ser exploradas remotamente, senhas fáceis de adivinhar, ou mesmo usuários mal informados que executam inadvertidamente arquivos recebidos pela Internet. Os bots se conectam por meio de um componente IRC (Internet Relay Chat, uma rede para comunicação online) a um determinado canal de um ou mais servidores IRC. Normalmente, o software usado para gerenciamento destes canais é modificado de forma que sirvam a mais bots e que não revelem a quantidade de bots associados. Assim está formada uma botnet, que o atacante controla por meio de comandos no canal IRC.

Que riscos as botnets representam para o usuário doméstico? E para as corporações?
Assim como os worms, os bots podem se propagar explorando remotamente vulnerabilidades nos sistemas. Mas de modo diferente dos worms, bots são ferramentas de ataque distribuído, que têm como usos mais comuns: ataques de negação de serviço distribuído (DDoS); envio de spam por meio de um componente do bot; captura de tráfego de rede no segmento comprometido com o bot; captura do que é digitado no teclado do computador comprometido; propagação de novos softwares maliciosos; instalação de adware (software para exibição de publicidade).

Para um usuário doméstico, o risco está na captura de dados sigilosos, como senhas, nomes de usuários, números de cartões de crédito. Outro risco está no tipo de atividade com o qual seu computador colabora sem o seu conhecimento: ataques de phishing scam, envio de spam, parte integrante de um ataque DDoS, e outros.

Para as corporações, as botnets oferecem todos os riscos que oferecem a um usuário doméstico, o diferencial está no valor estratégico das informações contidas nas máquinas comprometidas. Por outro lado, as corporações podem ser alvo de ataques DDoS, com origem em dezenas de milhares de outros computadores, o que pode causar a interrupção dos serviços, insatisfação dos clientes e, não raro, perdas financeiras.

Qual é o tamanho médio, em quantidade de máquinas comprometidas, das botnets observadas?
É difícil estimar, porque os atacantes utilizam versões bem modificadas de servidores IRC (que dificultam a contagem de associações a um canal, por exemplo) e porque os bots são espalhados entre vários servidores, mas as redes variam de centenas a dezenas de milhares de bots. O projeto Honeynet Project & Research Alliance, que pesquisa padrões de ataques a redes, já monitorou botnets com até 50 mil máquinas.

Como um usuário comum pode se defender contra bots e botnets?
Há bots para Linux, mas a maioria esmagadora das botnets é formada por bots projetados para atacar sistemas Windows. Uma vez que bots se propagam por meio da exploração remota de vulnerabilidades, um usuário que mantém seu sistema com as últimas atualizações de segurança e possui (e sabe usar) um firewall pessoal (que evita que dados entrem ou saiam do sistema sem consentimento do usuário) tem pouca probabilidade de integrar uma botnet. Para se manter informado sobre atualizações de segurança em sistemas Windows, pode-se acessar a página de segurança da Microsoft Brasil. Os softwares antivírus também podem oferecer uma barreira à instalação de bots, mas eles só são eficazes contra arquivos recebidos pelos usuários, caso consigam identificá-los como bots. Já os bots com capacidade de se instalar explorando uma vulnerabilidade remota, conseguem muitas vezes burlar e até desligar os antivírus.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/ 

A Busca pelo acesso a Rede Mundial de Computadores
Em um relatório divulgado no segundo semestre de 2007 pela Symantec, uma das maiores companhias americanas de segurança na internet do mundo, o Brasil concentra 39% de todos os computadores infectados por “bots” na América Latina. Neste relatório também vemos que esse crescimento de bots por PC se da pelo desenvolvimento do mercado.

Segundo essa pesquisa nunca se vendeu tantos micros no Brasil como agora. A desoneração fiscal e o câmbio favorável à importação de componentes derrubaram os preços e abriram as portas do consumo à classe C. Só no primeiro semestre foram 4,33 milhões de unidades, incluindo micros de mesa e portáteis, de acordo com a Associação Brasileira da Indústria Elétrica e Eletrônica (Abinee).

A estimativa para o ano é de que as vendas alcançarão 10,1 milhões de máquinas, 23% a mais que em 2006. Esses volumes animam a indústria, mas representam um risco maior à segurança da rede.

Além do aumento da base de computadores, outros movimentos positivos do mercado acabam apresentando efeitos colaterais. É o caso das conexões de banda larga, que proporcionam acesso mais veloz à internet.

Segundo um levantamento recentemente divulgado pela Cisco Systems, a gigante americana de redes, o país encerrou o primeiro semestre com 6,549 milhões de conexões de banda larga. Essa infra-estrutura melhorada facilita tarefas como transferir arquivos, baixar música e trocar imagens, mas também expõem o usuário a mais riscos. E ameaças mostram o relatório da Symantec, não faltam - em quantidade e sofisticação.

A Organização do Crime na Internet
Nos primeiros tempos da internet, os hackers competiam entre si pela “honra” de disseminar o vírus que causasse a maior destruição possível. Quanto mais estardalhaço, melhor. Mas os tempos mudaram. Hoje os hackers são silenciosos porque o objetivo é financeiro: eles querem roubar informações financeiras das vítimas, vemos que acabou a busca pela “fama”, o objetivo, agora, é ganhar dinheiro.

O total aumentou das 74.482 invasões via internet mapeadas no segundo semestre de 2006 para 212.101 entre janeiro e junho de 2007. Os cavalos-de-tróia respondem pela maior parte desses riscos e essa preponderância mostra uma mudança significativa na área de segurança, afirma a pesquisa.

Nem sempre o hacker rouba as informações para o seu próprio uso, já existe um mercado em que as informações são revendidas a outros criminosos.

Isso significa que o crime on-line está se profissionalizando. O trabalho da Symantec mostra que já existe um mercado negro organizado de informações financeiras. Pela tabela internacional, dados de cartão de crédito - os mais procurados - valem de US$ 0,50 a US$ 5; os de conta em banco variam de US$ 30 a US$ 400; e os de endereços da internet saem por US$ 2 a US$ 4 o megabit.

Sob essa abordagem “profissional”, o tipo de ataque também está mudando radicalmente. Em vez de usar um único tipo de arma, como um cavalo-de-tróia ou uma phishing, os criminosos partiram para ameaças combinadas.

Um caso examinado pela Symantec no Brasil mostra até onde vai à nova geração de hackers. Ao clicar em um spam do tipo ‘você está sendo traído’, o usuário tinha seu computador infectado por um downloader - um programa que baixa outros aplicativos da internet.

Mais tarde, o downloader baixava um cavalo-de-tróia para a máquina. “Como a transferência não era imediata, o software de antivírus entendia que o download era legítimo e não detectava o cavalo-de-tróia” depois disso, o cavalo-de-tróia ficava hibernando.

Só “acordava” quando o usuário entrava no site de um entre cinco bancos pré-determinados pelo vírus. Então, o cavalo-de-tróia abria uma página falsa, em que eram pedidos senhas, números de conta etc, a título de atualização dos dados. Posteriormente, as informações eram transferidas para computadores instalados na Rússia e China, entre outros lugares.

O golpe era tão bem planejado, que o programa só pedia os dados no primeiro acesso. “Se a solicitação se repetisse nas outras vezes, o usuário poderia perceber que algo estava errado”.

Competitividade no Sistema de Informação
O mercado como um todo hoje no século XXI exige que as negociações sejam realizadas na mesma velocidade que as transmissões dos dados, mas para que isso possa acontecer de uma maneira que satisfaça todos os interessados é necessário que a busca pela excelência na gestão seja uma atividade constante e em eterno desenvolvimento.

Muitos modelos de Excelência da Gestão existem no mercado, contudo as peculiaridades existem no mercado e dentro destas necessidades únicas se busca um modelo que contemple a sistematização das praticas de gestão e padrões de trabalho na organização visando o atendimento das necessidades das partes interessadas no negocio.

Para obter sucesso, as organizações devem estabelecer um sistema de segurança das informações que permita entender as demandas do negocio e atuar, de forma competitiva, para o alcance dos seus objetivos e metas de curto e longo prazo, trabalhando desta forma também com a liderança. Os sistemas de informação estruturados podem apresentar como a liderança é exercida na organização de modo a promover o pleno exercício de orientação e direcionamento para os negócios. Esclarece como as principais decisões são tomadas, comunicadas e conduzidas em todos os níveis da organização.

Padrões para Gerenciamento a Tecnologia da Informação
Todos nós sabemos que a informação é uma questão de sobrevivência mercadológica, gestão de ativos de TI desempenha papel central na estratégia de serviços de informação. Especialmente no que diz respeito a ativos de software, ela permite que a organização maneje de forma competente os programas que tenha adquirido ou desenvolvido. Além disso, relacionam-se com idéias importantes no contexto de negócios e de tecnologia, tais como a segurança de estrito cumprimento dos requisitos legais quanto à propriedade intelectual; a otimização do número e do tipo de licenças a serem mantidas e do respectivo custo associado; a padronização de software ao longo do universo de computadores; e a gestão de configuração do sistema computacional, entre outras.

Saber se a plataforma de TI está posicionada estrategicamente com a empresa é uma questão que deve estar na cabeça de cada gestor, mas também os custos, que são comprometidos pela área, devem ser examinados minuciosamente.

Medir esses dados é difícil, pois, de certa forma, a TI é intangível e o conhecimento da atividade, muitas vezes, é restrito. É comum ouvir falar que os investimentos feitos pela empresa X em tecnologia de ponta foram em bilhões de reais, mas é indispensável saber se o valor aplicado supriu as necessidades; se o montante sofrerá modificações posteriores pela falta de conhecimento prévio do negócio ou se apresenta soluções harmônicas com o alinhamento estratégico da empresa e com os seus planos para os próximos 10 ou 20 anos. Essas soluções extremas e rápidas para gestão da área são anunciadas todos os dias, mas buscar meios mais eficientes e de custo acessível, que demonstrem qualidade, são pontos que devem ser considerados, pois nem sempre o serviço com custo mais alto é o ideal para ser utilizado.

ISO IEC 27000 e ISO IEC 20000
Cresce no mercado a percepção de que segurança da informação é um investimento e não uma despesa. No mundo corporativo, a área financeira, onde as empresas centralizam volumes gigantescos de informações estratégicas, se tornou de fundamental importância para a proteção do negócio.

A adoção e o uso da TI trazem diversas vantagens. Uma delas é a otimização dos processos internos, o que proporciona o avanço dos negócios e aumenta a competitividade. Neste sentido, os recursos disponibilizados pela TI devem ser explorados de acordo com o planejamento estratégico e alinhados à proposta da empresa, pois, do contrário, se utilizados apenas de forma emergencial, só geram custos desnecessários.

Hoje obter a certificação ISO 27001 é o caminho para mostrar ao mercado que a sua empresa é absolutamente segura no tráfego de informações. Esse selo garante que sua empresa tem um modelo de gestão de segurança da informação dentro dos parâmetros aceitos internacionalmente para um bom ambiente de negócios. Ter o certificado ISO 27001 dá um diferencial competitivo para a comunicação e relacionamento com seus públicos, mostrando que a sua empresa garante a segurança das suas práticas internas e das informações dos seus parceiros e clientes. A evolução das normas de certificação permitiu que o modelo britânico BS 7799 fosse incorporado pela ISO. Com respaldo de uma instituição internacional que gerencia o estabelecimento de padrões mundiais de certificação em diversas áreas, a empresa que conquistar a ISO 27001 terá a validação mais importante do mundo corporativo para suas práticas de segurança da informação.

Na verdade, a norma ISO 27001:2005 é a norma BS7799-2:2002 revisada, com melhorias e adaptações, contemplando o ciclo PDCA de melhorias e a visão de processos que as normas de sistemas de gestão já incorporaram. A revisão foi feita por um comitê técnico de âmbito internacional, formado pela ISO e pelo IEC, o ISO/IEC JTC 1, subcomitê SC 27, que através de um trabalho conjunto que ocorreu desde 2000 efetuou as alterações que são a compilação de diversas sugestões que os membros deste comitê apresentaram ao longo do trabalho, cujas reuniões de discussão e apresentação dos resultados ocorreram em diversos países até o primeiro semestre de 2005.

A ISO IEC 27001:2005 - Tecnologia da Informação - Técnicas de segurança - Sistema de gestão da Segurança da Informação - Requisitos estrutura o SGSI (sistema de gestão de segurança da informação), em que são destacados aspectos de auditoria interna e indicadores de desempenho do sistema de gestão de segurança e no Anexo A que passou a ter na ISO IEC 27001 11 seções, pois foi incluída a seção Gestão de Incidentes de Segurança da Informação:

5.Política de Segurança da Informação;
6. Organizando a Segurança da Informação;
7. Gestão de Ativos;
8. Segurança em Recursos Humanos;
9. Segurança Física e do Ambiente;
10. Gerenciamento das Operações e Comunicações;
11. Controle de Acessos;
12. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;
13. Gestão de Incidentes de Segurança da Informação;
14. Gestão da Continuidade do Negócio;
15. Conformidade.

A segurança da informação refere-se à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplicam-se tanto as informações corporativas quanto as pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição. Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da situação de segurança existente.

A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que tem o objetivo de furtar, destruir ou modificar a informação.
A tríade CIA - Confidencialidade, Integridade e Disponibilidade - Outras propriedades estão sendo apresentadas (legitimidade e autenticidade) na medida em que o uso de transações comerciais em todo o mundo, através de redes eletrônicas (públicas ou privadas) se desenvolve. Os conceitos básicos podem ser explicados:
• Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
• Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição).
• Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.

O nível de segurança desejado, pode se consubstanciar em uma política de segurança que é seguida pela organização ou pessoa, para garantir que uma vez estabelecidos os princípios, aquele nível desejado seja perseguido e mantido. Para a montagem desta política, tem que se ter em conta: riscos associados à falta de segurança; benefícios; e custos de implementação dos mecanismos.

ISO IEC 20000 - especificações e boas práticas para o gerenciamento de serviços de TI Baseada na antiga BS 15000, a norma apresenta um conjunto de requisitos certificáveis para a gestão de serviços de TI, e uma de suas principais características é a de estar alinhada às recomendações previstas pelo IT Infrastructure Library - ITIL (Biblioteca de Infra-estrutura de TI). A norma foi publicada em duas partes: ISO IEC 20000-1:2005 - especificações, e ISO IEC 20000-2:2005, que aborda o código de boas práticas para a gestão de serviços de TI.

Auto-avaliação para gestão de software
A ISO tem uma ferramenta de definição para 27 processos da gerência de recurso do software, foi publicado pelo ISO em maio de 2006. Com a uma idéia de facilitar a auto-avaliação em CD, para ajudar organizações a assegurar um ambiente de TI de fácil funcionamento durante a implementação da norma ISO IEC 19770-1: 2006 na gestão de softwares.

Esse sistema permitira que os prestadores de serviço melhorassem a qualidade do serviço prestado aos clientes ele contempla uma interface mais agradável, documentação para auto-avaliação de fácil manuseio, preparação mais rápida para certificação facilitando a analise de gaps e registro do progresso e o fornecimento do status da organização com relação aos requisitos da certificação.

A primeira parte do padrão, já divulgada, ataca os processos de gestão dos ativos de software, divididos em seis grandes áreas:
• Ambiente de controle: cobre os processos, procedimentos, políticas, papéis e responsabilidades, declarações de requisitos e comunicações, assim como a avaliação corrente dos processos de software asset management (SAM)
• Planejamento e implementação: mapeia as atividades previstas, os recursos necessários, as estrutura de relatórios, medidas e verificações e um processo de melhoria contínua.
• Inventário: define a seleção de escopo, a confirmação dos ativos incluídos e a monitoração auditável de sua existência, acesso, utilização e armazenamento.
• Verificação e conformidade: cobre os processos de identificação e registro de ativos de software e a validação do inventário contra as licenças existentes, além de outros processos relacionados.
• Gestão de operações: Cobre a política de segurança e evidências documentais de implementação, a gestão de relacionamento com fornecedores e os respectivos contratos, incluindo as relações com clientes e usuários e a manutenção de acordos de nível de serviço (SLAs) para a gestão e manutenção de documentos contratuais e orçamentos.
• Ciclo de vida: cobre o ciclo de vida dos ativos de software, desde a perspectiva de gerência de mudança, passando pela sua seleção, aquisição e/ou desenvolvimento, gerência de incidentes e problemas, até sua cessação de uso, transferência, destruição, etc.

A segunda parte do standard, ainda não publicada, vai definir critérios para a identificação de produtos, com o objetivo de facilitar o processo de inventário.

Conclusão
O processo de certificação ISO 20000 é semelhante ao de outras normas bastante conhecidas, como a ISO 9001:2000. Após a implementação do Sistema de Gestão (que envolve o apoio da alta administração ao longo de todo o processo, a documentação do sistema incluindo o fluxograma de processos, o treinamento dos funcionários, entre outros requisitos), a empresa realizará uma pré-auditoria seguida da auditoria de certificação. As manutenções serão feitas anualmente e após três anos será feita a auditoria de recertificação.

Com a aplicação da norma, o setor de tecnologia da informação, que está sempre em busca de inovações, melhores resultados na prestação de seus serviços e preocupado em garantir a satisfação de todos os seus clientes, passará a ter maior controle de seus processos e os tornará cada vez mais eficazes e alinhados, de acordo com os novos requisitos, garantindo assim o sucesso de suas negociações, em um mercado cada vez mais competitivo e globalizado.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Introdução
O aumento do número de ataques a sistema de computadores vem crescendo diariamente.

Isso acontece por que os sistemas não são desenvolvidos de forma segura, ou seja os sistemas possuem falhas de segurança de fábrica

A computação forense vem de encontro ao que diz respeito ao descobrir o que, onde e como foi feita tal invasão.

Sinais de invasões
- Hackers Habilidosos.
- Hackers Iniciantes.
- Novos Usuários no Sistema.
- Execução de processos estranhos.
- Utilização Inexplicável da CPU.
- O Ambiente parece estranho.

Como identificar os atacantes
Existem dois perfis básicos de atacantes, são eles:

Internos:
- Questões pessoais
- Acesso a recursos privilegiados
- Vantagens Financeiras

Externos:
- Vandalismo
- Auto-Afirmação
- Busca por reconhecimento

Ameaças
- Fácil acesso às ferramentas
- Os Script Kiddies procuram por vulnerabilidade
- Não existe horário definido para ser alvo de um ataque, ou mesmo de um scan

Técnicas para perícia
a) Auditoria de logs dos aplicativos dos sistemas.
b) Análise de arquivos e diretórios incluindo o nome de arquivos deletados.
c) Visualização do conteúdo de arquivos suspeitos.
d) Datas de arquivos acessados, alterados e deletados.
e) Seqüência de eventos.
f) Efetuar análise física e lógica em cima dos dados levantados nas etapas antecessoras sem alterar o conteúdo original.

Análise física
a) São investigados os dados brutos da mídia de armazenamento.
b) Análise é feita em cima da imagem pericial ou na cópia restaurada das provas.
c) Dados comumente investigados:
- Todas as urls encontradas na mídia.
- Todos os endereços de e-mail encontrados na mídia.
- Todas as ocorrências de pesquisa de sequencia com palavras sensíveis a caixa alta e baixa.

Análise lógica
a) Erros comumente cometidos.
b) Como efetuar a análise lógica sem alterar os dados?

Análise de logs
a) Extremamente importante que a cultura de auditoria de logs esteja disseminada entre os administradores da rede.
b) Para rastrear os fatos é importante que o profissional atue com um espião e não veja os dados como um usuário.
c) Para isso, é necessário que ele reconstrua construa os históricos dos:
- Usuários
- Processos
- Situação da Rede
- Acesso a Serviços

Análise de tráfego
O processo de arquivamento do tráfego de rede com auxílio de ferramentas de captura de pacotes gera a primeira camada de informação forense: isto é, a carga de tráfego com o passar do tempo.

Obtenção de evidências
a) Grande aumento no número de fraudes e crimes eletrônicos com o passar do tempo.
b) Identificação
c) Preservação
d) Análise
e) Apresentação

Exemplo prático: Investigando um servidor Web
a) Tipos de ataque:
- Negação de serviço
- Site defacement
- Roubo de produto ou informação
b) Métodos para investigação de um possível ataque.

Principais entidades
- IOCE (International Organization on Computer Evidence);
- HTCIA (High Technology Crime Investigation Association);
- SWGDE (Scientific Working Group on Digital Evidence);
- IACIS(International Associantion of Computer investigatibe specialists);
- SACC (Seção de Apuração de Crimes por Computador);

Principais entidades no Brasil
- NBSO(Network Information Center(NIC) - Brazilian Security Office);
- CAIS(Centro de Atendimento a Incidentes de Segurança);
- GT-S(Grupo de Trabalho em segurança do comitê gestor da internet brasileira)

Carreira
- Perito Criminal
- Consultor Independente
- Funcionário público

Conclusão
A melhor solução para evitar o acesso indevido a informação é implementar sempre uma política clara e concisa de uso e de auditoria (Constante) do sistema.

A análise forense computacional vem a auxiliar na descoberta de falhas de segurança, a fim de que possam ser tomadas de falhas de segurança, a fim de que possam ser tomadas as providências para sanar tais falhas e identificar os culpados.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Invasão é a entrada em um site, servidor, computador ou serviço por alguém não autorizado. Mas antes da invasão propriamente dita, o invasor poderá fazer um teste de invasão, que é uma tentativa de invasão em partes, onde o objetivo é avaliar a segurança de uma rede e identificar seus pontos vulneráveis.

Mas não existe invasão sem um invasor, que pode ser conhecido, na maioria das vezes, como Hacker ou Cracker. Ambos usam seus conhecimentos para se dedicarem a testar os limites de um sistema, ou para estudo e busca de conhecimento ou por curiosidade, ou para encontrar formas de quebrar sua segurança ou ainda, por simples prazer.

Mas também pode ser por mérito, para promoção pessoal, pois suas descobertas e ataques são divulgados na mídia e eles se tornam conhecidos no seu universo, a diferença é que o Cracker utiliza as suas descobertas para prejudicar financeiramente alguém, em benefício próprio, ou seja, são os que utilizam seus conhecimentos para o mau.

Existem muitas ferramentas para facilitar uma invasão e a cada dia aparecem novidades a respeito. Abaixo serão descritas algumas das mais conhecidas.

Spoofing

Nesta técnica, o invasor convence alguém de que ele é algo ou alguém que não é, sem ter permissão para isso, conseguindo autenticação para acessar o que não deveria ter acesso, falsificando seu endereço de origem. É uma técnica de ataque contra a autenticidade, onde um usuário externo se faz passar por um usuário ou computador interno.

Sniffers

Sniffer é um programa de computador que monitora passivamente o tráfego de rede, ele pode ser utilizado legitimamente, pelo administrador do sistema para verificar problemas de rede ou pode ser usado ilegitimamente por um intruso, para roubar nomes
de usuários e senhas. Este tipo de programa explora o fato dos pacotes das aplicações TCP/IP não serem criptografados.

Entretanto, para utilizar o sniffer, é necessário que ele esteja instalado em um ponto da rede, onde passe tráfego de pacotes de interesse para o invasor ou administrador.

Ataque do tipo DoS - Denial of Service

É um ataque de recusa de serviço, estes ataques são capazes de tirar um site do ar, indisponibilizando seus serviços. É baseado na sobrecarga da capacidade ou em uma falha não prevista.

Um dos motivos para existirem esse tipo de falha nos sistemas é um erro básico de programadores, na hora de testar um sistema, muitas vezes, eles não testam o que acontece se um sistema for forçado a dar erro, se receber muitos pacotes em pouco tempo ou se receber pacotes com erro, normalmente é testado o que o sistema deveria fazer e alguns erros básicos. O invasor parte deste princípio e fica fazendo diversos tipos de testes de falhas, até acontecer um erro e o sistema parar.

Este tipo de ataque não causa perda ou roubo de informações, mas é um ataque preocupante, pois os serviços do sistema atacado ficarão indisponíveis por um tempo indeterminado, dependendo da equipe existente na empresa para disponibilizá-lo novamente e dependendo do negócio da empresa, este tempo de indisponibilidade pode trazer muitos prejuízos.

De acordo com um estudo da Universidade da Califórnia, Crackers tentam realizar em torno de 15 mil ataques do tipo DoS por semana. Os alvos mais comuns são grandes empresas.

Ataque do tipo DDoS – Distributed Denial of Service

São ataques semelhantes ao DoS, tendo como origem diversos e até milhares de pontos disparando ataques DoS para um ou mais sites determinados. Para isto, o invasor coloca agentes para dispararem o ataque em uma ou mais vítimas. As vítimas são
máquinas escolhidas pelo invasor por possuírem alguma vulnerabilidade. Estes agentes, ao serem executados, se transformam em um ataque DoS de grande escala. Uma ferramenta chamada DDoS Attack, desenvolvida pelo programador brasileiro que se intitula OceanSurfer, é capaz de causar negação de serviços em computadores na Internet através de uma inundação de conexões em determinada porta.

Quebra de Senhas

Para acessar algo é necessário uma senha de acesso, muitos invasores tentam quebrar estas senhas através de técnicas de quebras de senhas, como tentar as senhas padrões de sistemas ou as senhas simples como nomes pessoais, nome da empresa, datas, entre outros. Mas para facilitar a descoberta da senha, existem diversos programas, como dicionários de senhas e programas que tentam todas as combinações possíveis de caracteres para descobrir a senha.

Vírus

O vírus de computador é outro exemplo de programa de computador, utilizado maliciosamente ou não, que se reproduz embutindo-se em outros programas. Quando estes programas são executados, o vírus é ativado e pode se espalhar ainda mais, geralmente danificando sistemas e arquivos do computador onde ele se encontra. Um exemplo deste tipo de programa é o Worm, criado por Robert Morris.

Os vírus não surgem do nada, ou seja, seu computador não tem a capacidade de criar um vírus, quem cria os vírus são programadores de computador mal intencionados.

Para que o vírus faça alguma coisa, não basta você tê-lo em seu computador. Para que ele seja ativado, passando a infectar o micro, é preciso executar o programa que o contém. E isto você só faz se quiser, mesmo que não seja de propósito. Ou seja, o vírus só é ativado se você der a ordem para que o programa seja aberto, por ignorar o que ele traz de mal pra você. Se eles não forem “abertos”, “executados”, o vírus simplesmente fica alojado inativo, aguardando ser executado para infectar o computador.

Após infectar o computador, eles passam a atacar outros arquivos. Se um destes arquivos infectados for transferido para outro computador, este também vai passar a ter um vírus alojado, esperando o momento para infectá-lo, ou seja, quando for também executado. Daí o nome de vírus, devido à sua capacidade de auto-replicação, parecida com a de um ser vivo.

Por que os vírus são escritos ? Esta pergunta foi feita na convenção de Hackers e fabricantes de vírus na Argentina. As respostas seguem abaixo:
· Porque é divertido;
· Para estudar as possibilidades relativas ao estudo de vida artificial (de acordo com a frase de Stephen Hawkind: “Os vírus de computador são as primeiras formas de vida feitas pelo homem” ). Esta proposta é seguida por vários cientistas.
· Para descobrir se são capazes de fazer isso, tentando seus conhecimentos de computação, ou para mostrarem aos colegas que são capazes de fazer;
· Para conseguir fama;
· Fins militares. Falou-se sobre isso na primeira Guerra do Golfo, em 1991, e os vírus para uso militar são uma possibilidade.

Trojans

A denominação “ Cavalo de Tróia” (Trojan Horse) foi atribuída aos programas que permitem a invasão de um computador alheio com espantosa facilidade. Nesse caso, o termo é análogo ao famoso artefato militar fabricado pelos gregos espartanos. Um
“amigo” virtual presenteia o outro com um “ presente de grego” , que seria um aplicativo qualquer. Quando o leigo o executa, o programa atua de forma diferente do que era esperado.

Ao contrário do que é erroneamente informado na mídia, que classifica o Cavalo de Tróia como um vírus, ele não se reproduz e não tem nenhuma comparação com vírus de computador, sendo que seu objetivo é totalmente diverso. Deve-se levar em consideração, também, que a maioria dos antivírus fazem a sua detecção e os classificam como tal. A expressão “ Trojan” deve ser usada, exclusivamente, como definição para programas que capturam dados sem o conhecimento do usuário.

O Cavalo de Tróia é um programa que se aloca como um arquivo no computador da vítima. Ele tem o intuito de roubar informações como passwords, logins e quaisquer dados, sigilosos ou não, mantidos no micro da vítima. Quando a máquina contaminada por um Trojan conectar-se à Internet, poderá ter todas as informações contidas no HD visualizadas e capturadas por um intruso qualquer. Estas visitas são feitas imperceptivelmente. Só quem já esteve dentro de um computador alheio sabe as possibilidades oferecidas.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Por: Airon Fonteles da Silva

Introdução

Gerência de redes. O termo já teve seus altos e baixos, mas se mantém vivo para os profissionais da área. É bem verdade que a maioria esmagadora das empresas utiliza uma técnica bem conhecida para fazer a gerência: a gerência da porta aberta. Basicamente esta técnica se resume ao nosso “gerente de rede” sentado em sua cadeira, com a porta de sua sala aberta, esperando alguém gritar e reclamar por um serviço que deixou de funcionar corretamente.

Mais difícil ainda é a gerência de segurança. Sim, esta é mais uma área de gerência de redes que é pouco conhecida e pouco implementada pelos profissionais da área. Mesmo supondo que a empresa em questão tenha implementado uma política de gerência de redes e existam regras de segurança, a gerência dessas regras ou políticas é feita quase que de forma empírica.

Políticas de segurança

Bem, a gerência de segurança está baseada em regras de segurança, ou seja, temos que ter, antes de tudo, uma política de segurança. Em redes de qualquer dimensão este aspecto deve estar presente desde a concepção da mesma. É um aspecto importante, pois tem impacto direto em escabilidade, desempenho entre outros.

Podemos observar claramente que uma política de segurança consiste em especificar formalmente as regras que deverão ser seguidas pelas pessoas para acessarem os recursos da empresa.

Independente da política de segurança ter sido concebida na parte de projeto da rede em questão, prática altamente recomendada, mas usualmente não seguida, temos os seguintes passos a seguir:

a) Identificar o que você está interessado em proteger;
b) De quem você está preocupado em proteger;
c) Determinar quais as principais ameaças;
d) Implementar as medidas que protegerão os recursos com uma boa relação custo-benefício;
e) Rever este processo continuamente aperfeiçoando e eliminando possíveis falhas.

Impactos econômicos

Entre as atividades necessárias para a implementação de uma política de segurança, encontramos alguns entraves que podem causar problemas relativamente sérios para uma implementação que traga os resultados desejados. Isso acontece porque a implementação de uma política como esta tem vários pontos de contrapartida. Vejamos alguns deles.

Todos os problemas que encontramos aqui podem ser sérios e comprometer a implementação de uma política de segurança. Do ponto de vista econômico, por exemplo, existe um custo para se implementar tal política. A questão que deve ser apresentada é: é economicamente viável sua implementação? Profissionais da área de TI sempre irão dizer que sim, pois segurança é essencial em qualquer empresa. Mas essa não é a maneira de pensar de quem tem o dinheiro pra investir na empresa.

Vejamos, a maneira mais fácil de convencer quem detem os recursos para investimento fazê-lo, é apresentar uma análise de retorno de investimento (Return of Investiment, ROI). A grosso modo, o que deve ser feito é uma análise de em quanto tempo o investimento feito terá o seu retorno e compará-lo com o tempo necessário para que este mesmo investimento tivesse retorno caso fosse feita uma aplicação tradicional. Isto é o que justificaria o investimento na política de segurança. É desta maneira que calculamos se ela será ou não viável. Mas temos um grave problema neste ponto. Como mensurar os ganhos, perdas e custos da política de segurança? Este é realmente um problema complexo onde atualmente temos muitas incertezas e temos que lidar com estimativas. Além disso, temos que lidar com o valor da informação, que costuma ser uma coisa intangível.

Dentro deste mesmo panorama, podemos citar como exemplo, o custo de treinamento de pessoal, o custo de se implantar um firewall ou um sistema de detecção de intrusão. Esses últimos requerem uma análise não apenas de custo de software ou hardware. Temos que analisar também os impactos na utilização dos recursos que a habilitação deste tipo de ferramenta incorre.

Impactos de desempenho

Um estudo interessante é apresentado em [Paulo03]. Nele são apresentados os impactos da utilização de mecanismos de segurança em redes 802.11. O que temos na verdade é um estudo dos impactos de desempenho, que claramente tem forte ligação com a questão econômica, que a implementação deste tipo de ferramenta acarreta. Por exemplo, a utilização de criptografia de chave pública requer um tempo de processamento adicional nos hosts envolvidos.

O sonho dos profissionais de segurança é que toda comunicação seja de feita de forma criptografada, que tenhamos firewalls e sistemas de detecção de intrusão rodando permanentemente, enfim, que sejam implementados todas as ferramentas possíveis para proteger a informação e a infra-estrutura de rede da empresa. Mas tudo isso tem um custo que não pode ser desprezado. Por isso que esta análise, mesmo que subjetiva em alguns aspectos deve ser levada em consideração na elaboração de uma política de segurança.

Nesta questão de desempenho, faltam ainda muitos estudos para que uma melhor gerência de segurança possa ser colocada em prática, mas o caminho já foi iniciado e muito em breve teremos condições de analisar melhor os impactos que cada medida tomada tem nos recursos disponíveis e termos a possibilidade de tomarmos as melhores decisões para a utilização dos mesmos.

Impactos políticos

Adicionar regras de acesso a recursos nem sempre é tarefa das mais fáceis. Este é apenas um exemplo do que podemos esperar com a implementação de uma política de segurança.

Delegar direitos, restrições, obrigações e responsabilidades são políticas fundamentais na elaboração de uma boa política, pois o principal risco de segurança está nas pessoas. Sejam elas administradores que não fizeram uma atualização necessária em um software essencial, ou mesmo um funcionários insatisfeitos que têm acesso a mais informações do que deveria.

Este é um ponto em que a gerência pode ser feita de uma maneira satisfatória pois desta vez estamos lidando com coisas que se pode verificar um pouco mais facilmente. Neste caso, é de suma importância realizar auditorias periódicas para verificar se estas políticas estão sendo de fato obedecidas.

Como gerir tudo isso?

Obviamente não há ferramenta disponível que seja capaz de lidar com tamanho nível de incerteza e abstração. Por isso que a gerência de segurança é um tema as vezes pouco abordado pelos profissionais da área. Uma possível solução para isto é a adoção de ferramentas individuais.

Pode-se, por exemplo, analisar um intervalo de confiança em que se é possível realizar determinada atividade e através de determinada ferramenta individual (um sistema de gerenciamento de chaves, por exemplo), ajustar o nível de segurança para se obter uma melhor qualidade de serviço sempre respeitando o nível mínimo de segurança exigido pela mesma.

Esta não é tarefa das mais fáceis numa rede de grandes proporções. Ainda há muita coisa a se fazer e muita coisa já está sendo feita para melhorar o patamar em que nos encontramos. Mas uma boa política de segurança aliada com a gerência da mesma continua sendo indispensável para qualquer empresa, independente de suas dimensões.

Saiba mais

Referências

[Paulo03] Paulo Ditarso M. Júnior, Bruno A. A. Nunes, Carlos A. V. Campos, Luís F. M de Moraes. Avaliando a Sobrecarga Introduzida nas Redes 802.11 pelos Mecanismos de Segurança WEP e VPN/IPSec. WSeg 2003 - XXI Simpósio Brasileiro de Redes de Computadores (SBRC2003)

[rfc2196] RFC 2196 - Site Security Handbook. The Internet Engineering Task Force, September 1997

[Orl91] Eugenio Orlandi. The cost of security. Proceedings 25th Annual 1991 IEEE International Carnahan Conference on Security Technology, 1-3 Oct. 1991 Pages: 192 - 196

[Spy00] Evdoxia Spyropoulou, Timothy E. Levin, and Cynthia E. Irvine, Calculating costs for quality of security service. Proceedings of the 16th Annual Computer Security Applications Conference, New Orleans, Louisiana, USA, December 11-15, 2000, pp. 334–343.

[Ste91] Daniel F. Sterne, On the Buzzword “Security Policy” Proceedings IEEE Computer Society Symposium on Research in Security and Privacy, 20-22 May 1991 Pages: 219 - 230

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/