1. Segurança da Informação
em Windows Server 2008
Guilherme Lima
MCITP Enterprise Administrator / MCITP Server Administrator
5x MCTS / MCSA / MCDST / MCP / TCF / Auditor ISO 20000
2. Agenda
33
Segurança da informação – noções fundamentais
Gestão de segurança da informação
Os riscos, as ameaças e vulnerabilidades em TI
Estabelecendo controle e contramedidas de segurança
Perícia forense
120
120
120
120
90
3. Segurança da informação – noções básicas
44
Segurança da informação é uma disciplina relativamente nova no contexto de tecnologia
da informação. É uma palavra de amplo espectro quando abordamos questões
pertinentes aos requisitos necessários para proteger os ativos e acervos computacionais
das corporações. A proteção da informação é seu ponto de foco.
Neste contexto, Informação pode e deve ser tratada como qualquer outro ativo que
sustenta um negócio.
A Segurança da informação protege a informação contra diversos tipos de ameaças para
garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o
retorno dos investimentos e as oportunidades de negócios.
4. Segurança da informação – noções básicas
55
A segurança das informações deve caracterizar-se por preservar:
- Confidencialidade: Para que a informação seja acessível somente por pessoas
autorizadas, garantindo a privacidade de seu possuidor e o sigilo da informação.
- Integridade: Para manter salvaguarda da exatidão e inteireza da informação e dos
métodos de processamento.
- Disponibilidade: Para garantir que informações e serviços computacionais vitais
estejam disponíveis sempre que requeridos.
- Irretratabilidade: Para garantir que as informações sejam autenticas e que não possam
ser repudiadas quanto à sua legalidade
5. Segurança da informação – noções básicas
66
A segurança da informação é obtida a partir da implantação uma série de tecnologias e de
controles, que se traduzem em um processo estruturado de Gestão.
As tecnologias são necessárias para prover infraestrutura segura e ferramentas sobre a
qual as aplicações serão utilizadas e ainda para defender a rede contra ataques.
Os controles provem forma de monitorar o ambiente de TI para validar o funcionamento
da infraestrutura de segurança e mensurar seus resultados. Estes controles podem ser
políticas, práticas, procedimentos ou funções de software e/ou hardware.
Ambos e em ações coordenadas e abrangentes provem processos de segurança que
devem estar alicerçados em estruturas organizacionais responsáveis pelo seu
acompanhamento e/ou implementação e precisam ser estabelecidos para garantir que as
estratégias de segurança específicas da organização sejam atendidas.
6. Segurança da informação – noções básicas
77
Independentemente do meio ou forma pela qual a informação é Manuseada,
armazenada, transmitida, e descartada, é recomendável que ela passe por processos de
proteção e controles adequados a cada meio e/ou forma de tratamento.
7. Agenda
88
Segurança da informação – noções fundamentais
Gestão de segurança da informação
Os riscos, as ameaças e vulnerabilidades em TI
Estabelecendo controle e contramedidas de segurança
Perícia forense
120
120
120
120
90
8. Gestão de segurança da informação
99
Uma estrutura adequada para planejamento, coordenação, execução e manutenção de
atividades relacionadas à segurança da informação é fator determinante para garantir a
sua eficiência.
Dependendo do porte da empresa, das vulnerabilidades existentes e do risco e impactos
destas ao negócio, a Gestão de segurança das informações pode ser formada por um ou
mais profissionais, com atribuições estratégicas, táticas e/ou operacionais.
Normalmente a estruturação de uma área de segurança inicia-se pela definição de um
profissional interno ou a contratação de uma consultoria especializada para a realização
do trabalho de planejamento inicial.
O planejamento inicial das ações envolve o estabelecimento de Diretrizes de Segurança da
Informação definidas pela alta direção da empresa. Estas diretrizes são fundamentais para
que a organização atue seguindo o mesmo direcionamento. Deve ser abrangente e
transmitir à todos os funcionários e colaboradores qual é a visão da organização
relacionada à segurança da informação.
9. Gestão de segurança da informação
1010
Alguns pontos chave são:
Declaração do grupo executivo, marcando apoio às Diretrizes; deveria conter:
- Definição dos conceitos de segurança, com enfoque na distinção entre dono,
custodiador e usuário da informação;
- Definição das responsabilidades gerais de segurança, resultado da tarefa inicial de
planejamento da estrutura.
Estas diretrizes dão credibilidade e força às ações seguintes de planejamento de
segurança.
10. Gestão de segurança da informação
1111
Fórum de Segurança da Informação
Esta estrutura é formada por integrantes do grupo executivo juntamente com o CSO. Atua
na análise estratégica e no planejamento das principais atividades relacionadas à
segurança da informação, no desenvolvimento e avaliação das Diretrizes de Segurança da
Informação e na definição do Plano de Metas, visando estabelecer objetivos estratégicos
relacionados à segurança. Este plano contempla todo o ambiente organizacional, novas
estruturas, novos processos e serviços que virão a fazer parte da realidade da empresa.
Devem ser realizadas análises críticas e monitoração de incidentes de segurança da
informação, munindo os executivos de informações, essenciais ao aceite das principais
iniciativas para aumentar o nível da segurança corporativo.
11. Gestão de segurança da informação
1212
Chief Security Officer (CSO)
O nome exato talvez seja de menor importâncias, alguns chamam de Security Officer,
outros de Information Security Officer. Funcionalmente é o administrador de Segurança
da Informação: profissional responsável por coordenar, planejar e organizar todas as
atividades relacionadas à segurança da informação corporativa.
O CSO é o elo entre o Fórum de Segurança da Informação e a Coordenação da Segurança
da Informação, compreendendo as particularidades de cada departamento, seja através
do planejamento de atividades de implementação de controles de segurança junto à
Coordenação, ou na apresentação dos resultados à alta administração.
12. Gestão de segurança da informação
1313
Coordenação da Segurança da Informação
Estrutura constituída por profissionais subordinados ao CSO e pelos disseminadores da
cultura de segurança dentro dos diversos setores da organização. Entre as atividades da
Coordenação da Segurança podemos destacar:
- Análise de incidentes de segurança;
- A avaliação e coordenação de implementações de controles;
- Elaboração do Plano de Ação - um planejamento tático e operacional para
implementação de controles de segurança.
Tão importante quanto a estrutura geral – Fórum, Coordenação e CSO -, é a relação entre
suas diferentes partes, fazendo com que interajam com os diversos ambientes
organizacionais, contemplando tecnologias, processos, perímetros e, principalmente, as
pessoas que fazem a “máquina” funcionar.
Os benefícios que a Estrutura de Segurança da Informação agrega à organização são
claros. A consolidação desta estrutura orienta o direcionamento de investimentos e
esforços em segurança da informação em um mesmo sentido, não somente constituindo
um novo setor dentro da organização, mas transformando seus diferentes setores em
mecanismos simbióticos, formando uma estrutura eficiente, flexível às particularidades
corporativa e acima de tudo, econômica.
13. Agenda
1414
Segurança da informação – noções fundamentais
Gestão de segurança da informação
Os riscos, as ameaças e vulnerabilidades em TI
Estabelecendo controle e contramedidas de segurança
Perícia forense
120
120
120
120
90
14. Os riscos, ameaças e vulnerabilidades em TI
1515
Considerações sobre os riscos de segurança em TI
Em sentido amplo, risco é qualquer evento que possa causar impacto na capacidade de
empresas atingirem seus objetivos de negócio. O risco pode ser classificado e tratado
como uma oportunidade, uma incerteza ou uma ameaça.
Tratando especificamente de ambientes de rede e tecnologias de Informação, o risco se
apresenta na dimensão de uma ameaça.
Os riscos que cercam os ambientes de tecnologia corporativos são da mais abrangente
ordem, diretamente proporcionais à quantidade e variedade de tecnologias que se
misturam nos ambientes de TI modernos.
Os riscos são proporcionais à probabilidade de uma determinada ameaça explorar
vulnerabilidades, causando impacto nos negócios.
15. Os riscos, ameaças e vulnerabilidades em TI
1616
RISCO = (Ameaça) x (Vulnerabilidade) x (Valor do Ativo ou custo do evento)
Vulnerabilidades podem ser relativas às tecnologias, processos ou pessoas. Qualquer
evento de segurança é o resultado de determinadas ameaças que exploram
vulnerabilidades tecnológicas, de processo ou pessoas. Em TI, Hackers são a principal
ameaça. São os exploradores das vulnerabilidades das tecnologias, processos ou pessoas.
Terminologia
18. Os riscos, ameaças e vulnerabilidades em TI
1919
Conhecendo os potenciais atacantes
Os riscos para negócios são muitos, incluindo-se os mais diversos tais como operacionais,
de catástrofes, sistêmicos, legais e empresariais. Dependendo do ramo de negócio, cada
um deles é ou não considerado e em maior ou menor grau. No contexto de tecnologia,
basicamente abordamos os riscos tecnológicos que se configuram em eventos de
segurança que são a exploração de vulnerabilidades tecnológicas.
Posto que os negócios na era digital estejam fortemente alicerçados em tecnologia, temos
neste contexto a figura ameaçadora dos hackers, os exploradores destas vulnerabilidades.
Genericamente identificamos Hackers como aqueles que realizam ataques a um sistema
computacional com os mais diversos objetivos, sejam eles de obter acesso às informações
confidenciais, de causar perdas às organizações através de alterações na disponibilidade
do ambiente ou por fraudes seja de causar perdas devidas à falta de integridade de dados
internos. Eles utilizam seus conhecimentos para invadir sistemas com o intuito de causar
um dano qualquer.
Há algum tempo, o conceito de Hackers estava associado com pessoas que eram
motivadas por desafios às suas habilidades para a realização dos ataques. Não tinham a
intenção de causar danos e sim de provar seus conhecimentos. Hoje esta definição está
generalizada e qualquer incidente de segurança está associada a Hackers.
19. Os riscos, ameaças e vulnerabilidades em TI
2020
Seus tipos e suas motivações
Diversos tipos de estudos tentaram classificar o perfil dos Hackers e identificar a real
motivação que os leva a cometer atitudes tão prejudiciais às organizações. Um psicólogo
canadense chamado Marc Rogers divulgou o resultado de uma pesquisa que identifica o
Hackers como “Um indivíduo obsessivo, de classe média, de cor branca, do sexo
masculino, entre 12 e 28 anos, com pouca habilidade social e história de abuso físico e/ou
social”.
São os seguintes os tipos mais comuns de hackers, que estão aqui apresentadas em
caráter meramente ilustrativo.
20. Os riscos, ameaças e vulnerabilidades em TI
2121
Script Kiddies
Também conhecidos como “Newbies”, estes tipos são a grande maioria Hackers. Eles
normalmente possuem pouca experiência e conseguem programas de ataques prontos
para serem usados diretamente obtidos na Internet. Exploram vulnerabilidades básicas
como a configuração equivocada de serviços e sistemas operacionais e servidores sem os
Patchs de segurança recomendados. Na maioria das vezes não sabem a extensão dos
danos que estão causando.
CyberPunks
São os Hackers dos velhos tempos. Invadem sistemas motivados por puro divertimento e
desafio. Tem grande conhecimento de protocolos e atuam contra os Governos,
principalmente o Norte Americano. São os mais paranóicos e costumam acreditar em
teorias da conspiração. Atuam muito em pesquisas e descobrem várias vulnerabilidades
prestando assim enormes serviços à indústria.
21. Os riscos, ameaças e vulnerabilidades em TI
2222
Insiders
Os “Insiders” são os Hackers internos das organizações. São os responsáveis pelos
incidentes de segurança mais graves nas empresas. Estatísticas mostram que grande parte
dos ataques parte das próprias redes internas, mas os números são contraditórios. Os
motivos são geralmente insatisfação com o trabalho, com o chefe ou com a estratégia da
empresa em algum campo. Podem estar associados à subornos externos e espionagem
industrial.
Coders
São os Hackers que resolvem em certo momento compartilhar suas informações e
conhecimentos publicando livros e proferindo palestras. São normalmente motivados por
questões financeiras.
White Hat
São conhecidos como os Hackers do bem ou Hackers éticos. Eles utilizam seus
conhecimentos prestando serviços profissionais na proteção das redes e Sites de várias
organizações. São responsáveis pelos testes de invasão, nos quais apresentam relatórios
que medem o nível de segurança das organizações.
22. Os riscos, ameaças e vulnerabilidades em TI
2323
Black Hat
Eles são os tradicionais e antigos Crackers. Usam seus conhecimentos para invadir
sistemas e roubar informações confidenciais das organizações. Geralmente tentar vender
as informações roubadas para a própria vítima. Usam esta chantagem para conseguir
vantagens financeiras. Casos notórios de ação deste grupo é o evento de invasão do Site
CD Universe em 2000 no qual foi obtida a base de dados de cartões de crédito dos
clientes do Site e seguida divulgada na Internet porque os donos do Site se recusaram a
pagar pela sua devolução.
Grey Hat
São os Hackers que se fazem passar por White Hat´s para trabalharem na área de
segurança. Divulgam seus trabalhos como consultores de segurança mas não detêm o
conhecimento daqueles. Diferentemente dos White Hat´s, tem a cultura de Hacker muito
forte tornando um risco sua contratação.
Cabe salientar que não só Hackers causam problemas de segurança. Usuários, sejam eles
autorizados ou não, causam grandes problemas. Normalmente com ações baseadas em
imperícia ou imprudência.
23. Os riscos, ameaças e vulnerabilidades em TI
2424
O “modus operandi” e os tipos de Ataques mais Frequentes
O primeiro passo para a realização de um ataque é a obtenção de informações sobre os sistemas ou
redes a serem atacadas. Isto é feito na maioria das vezes sem que o intruso seja notado ou
descoberto. Isto pode ser feito por meio de diversas técnicas com a utilização de diversas ferramentas
que na maioria das vezes são de domínio público na Internet.
As técnicas e métodos de ataques são:
- Monitoração da rede a ser atacada
- Penetração na rede ou no sistema a ser atacado
- Inserção de códigos maliciosos ou informações falsas nos sistemas
- Envio de um grande número de pacotes de informações inúteis aos sistemas para provocar negação
de serviços.
Estes ataques trazem invariavelmente uma ou mais das seguintes consequências:
- Monitoramento não autorizado
- Descoberta e vazamentos de informações confidenciais
- Modificação não autorizada de serviços e das bases de dados da organização
- Negação ou corrupção de serviços
- Fraudes ou perdas financeiras
- Impacto na imagem, perda de confiança, de credibilidade e de reputação.
- Perdas secundárias com esforços de recuperação dos ambientes afetados
24. Os riscos, ameaças e vulnerabilidades em TI
2525
Após os ataques, um grande problema é que os intrusos apagam os rastros de sua
presença em território alheio. Normalmente, eles apagam ou modificam arquivos de
LOG´s e outros arquivos importantes dos sistemas para mascarar suas ações. Neste
contexto, os sistemas de proteção de redes a serem estudados em capítulo específico e a
computação forense são ferramentas fundamentais para auxílio na investigação sobre os
ataques e na identificação do invasor.
25. Os riscos, ameaças e vulnerabilidades em TI
2626
O perigo do desconhecimento dos riscos
Um dos maiores riscos que se apresentam é do desconhecimento do próprio risco, ou de
achar que já estamos totalmente protegidos com o que dispomos em termos de
segurança. Isto leva as considerações de premissas falsas quando abordamos segurança.
Eis algumas delas:
- “Para que iremos nos preocupar com segurança se usamos os melhores sistemas de
mercado”.
- “Nossos fornecedores irão nos avisar caso alguma vulnerabilidade seja encontrada”.
- “Vamos colocar para funcionar depois resolvemos os problemas de segurança”
- “Nosso parceiro é confiável, podemos liberar o acesso para eles”.
- “A empresa de TI com a qual fizemos o “Outsourcing” irá cuidar da segurança”.
Outro aspecto é adotarmos a abordagem da segurança pela obscuridade. Isto significa
esconder os problemas de segurança e utilizar ferramentas de segurança frágeis por
desconsiderar os riscos. Seguem exemplos
- “Ninguém vai descobrir esta brecha em nossa segurança”
- “Esta situação nunca ocorrerá conosco”.
- “Esta vulnerabilidade é improvável de ser explorada”
27. Os riscos, ameaças e vulnerabilidades em TI
2828
Porque os sistemas computacionais estão expostos a riscos
Os sistemas de informação da atualidade estão expostos devido a um ou mais dos
seguintes fatores:
- Exploração de vulnerabilidades em sistemas operacionais, aplicativos, protocolos e
serviços;
- Exploração dos aspectos humanos e comportamentais das pessoas envolvidas nos
processos de negócio e com responsabilidade direta na operação de TI;
- Falhas ou ausência no desenvolvimento das normas e procedimentos da política de
segurança;
- Pelas falhas no desenvolvimento de aplicações, de configurações de serviços e de
sistemas de segurança;
- Desenvolvimento permanente de ataques mais sofisticados.
28. Os riscos, ameaças e vulnerabilidades em TI
2929
Segurança é uma disciplina complexa e deve abordar todos os aspectos relacionados a
ela. Aspectos Humanos, organizacionais e Sociais e Tecnológicos divididos em físicos e de
infraestrutura. Dada sua complexidade e multiplicidade de fatores a controlar, tentar
impor um nível de segurança de 100% significa obter orçamento e tempo de
implementação que tendem ao infinito. Além disto, pode levar a uma paranoia coletiva
que engessa a organização. Desta forma, os riscos devem ser considerados de um modo
abrangente, mas de forma ponderada e equilibrada.
Equilibrar a segurança com os riscos significa minimizar os impactos que uma falha de
segurança pode causar à organização e proteger ao máximo possível os ativos da empresa
nesta situação.
Cuidados com os aspectos de tecnologia e infraestrutura
- As ameaças físicas como fogo, explosões, magnetismo, calor, poeira, fumaça e umidade.
- As ameaças de ataques digitais aos sistemas
- A qualidade das tecnologias de proteção e defesa
29. Os riscos, ameaças e vulnerabilidades em TI
3030
Cuidados com os aspectos organizacionais e de processos
- A qualidade dos sistemas de controle, monitoração e gerenciamento de segurança
- O nível de capacitação dos implementadores de segurança
- A qualidade e aplicabilidade das políticas de segurança
Cuidados com os aspectos humanos
- Funcionários ou terceiros sem conhecimento de conceitos básicos de segurança
susceptíveis a ataques de engenharia social
- Funcionários ou terceiros que podem estar planejando furto de informações
confidenciais, sabotagem, vandalismo.
- Funcionários ou terceiros que podem estar sujeitos a erros por imperícia ou imprudência
- O nível de consciência de segurança dos usuários
30. Os riscos, ameaças e vulnerabilidades em TI
3131
Cuidados com s erros mais freqüentes cometidos pelas pessoas
- Senhas anotadas em “post-it´s”
- Deixar o Computador desguarnecido
- Abrir correios eletrônicos de estranhos
- Senhas fracas e óbvias
- Perda ou furo de Laptop
- Divulgar informações confidenciais de forma inadvertida
- Fazer Conexões imprudentes
- Não reportar violações de segurança
- Ignorar correções e update de software
- Não manter atenção aos comportamentos estranhos dentro da organização
31. Os riscos, ameaças e vulnerabilidades em TI
3232
Principais ataques não relacionados à tecnologia
Engenharia social
A engenharia social é uma técnica que explora as fraquezas e vulnerabilidades humanas.
Como não está associada à tecnologia ela é uma ameaça imponderável e seu controle é
dos mais delicados e difíceis.
Com esta técnica, atacantes tentam ludibriar as pessoas assumindo falsas identidades ou
falando em nome de outros, comumente de poder e influência nas organizações, em
situações de urgência na obtenção de acessos para execução normal de suas atividades.
Esta técnica explora o fato que a maioria dos funcionários é treinada para colaborar e
apoiar clientes sejam eles internos ou externos e está baseada na confiança adquirida e
na habilidade de manipular pessoas.
32. Os riscos, ameaças e vulnerabilidades em TI
3333
Dumpster Diving ou Trashing
Esta é uma técnica baseada na análise do lixo para obtenção de informações sobre
determinada empresa. Procuram nomes, dados pessoais, senhas e informações
confidenciais dos alvos de ataque e informações sobre as estruturas internas de redes das
vítimas. É uma técnica eficiente e muito utilizada, principalmente no Brasil. Os alvos
principais são instituições financeiras. Muitos eventos deste tipo já foram identificados na
Brasil onde dados de clientes foram cruzados com outras informações para acesso a dados
pessoais e de contas correntes de clientes. Esta técnica nos leva a identificar a
necessidade clara de utilização de fragmentadores de papéis em pontos de geração de
informações sensíveis nas empresas. Esta recomendação deve ser alvo da política de
segurança.
Ataques físicos
Estes ataques baseiam-se em furtos de informações, fitas magnéticas, software e/ou
hardware com a presença física do atacante nas instalações do alvo atacado. É menos um
dos métodos menos comumente utilizados.
Afetam a confidencial idade das informações internas.
33. Os riscos, ameaças e vulnerabilidades em TI
3434
Informações livremente acessíveis
Informações obtidas na Internet de forma aberta, tais como informações de domínios
DNS, cabeçalhos de e-Mail, informações dos protocolos SNMP e NetBios, bem como a
busca de informações em listas de discussão, não podem ser consideradas intrusivas e
não possuem o menor controle.
Outras informações provenientes de serviços, que normalmente podem ser bloqueadas
em vários sistemas, como Finger, rusers, systat, ou netstat bem como banners dos
protocolos Telnet e FTP, as quais mostram informações sobre versões de sistemas
operacionais e serviços são facilmente obtidas.
Dependendo do grau de conhecimento do atacante estas informações podem ser muito
úteis para o início de exploração de outras vulnerabilidades.
34. Os riscos, ameaças e vulnerabilidades em TI
3535
Fonte: www.pleaserobme.com
35. Os riscos, ameaças e vulnerabilidades em TI
3636
Principais ataques relacionados à exploração de vulnerabilidades de tecnologia
Os ataques em TI podem ser classificados em ataques passivos ou ativos.
Os ataques Passivos são aqueles onde a informação é apenas observada ou copiada.
É um exemplo deste ataque:
- Interceptação de informações (man in the midle)
Os ataques ativos são aqueles nos quais as informações sofrem alteração ou são
desviadas. São exemplos destes ataques.
- Interrupção ou negação de serviços
- Modificação de informações
- Fabricação de informações
36. Os riscos, ameaças e vulnerabilidades em TI
3737
Packet Sniffing
Este método também é conhecido como “Passive Eavesdropping” (Escuta passiva). Ele consiste em
escutar o tráfego de rede através de Software de Sniffers, livremente obtidos na Internet. As
informações capturadas são aquelas disponíveis no mesmo segmento de rede a partir do qual o
software está sendo executado. Senhas que trafegam abertamente pela rede, como as de serviços
como FTP, Telnet e POP, podem ser facilmente obtidas. Medidas de segurança tais como segmentação
de redes em perímetros específicos com Roteadores ou Firewall´s minimizam estes riscos. O uso de
protocolos de criptografia tais como S/MIME para e-Mail, o IPSec em quaisquer tráfegos de pacotes e
do SSH ( Security Shell ) no lugar do telnet é uma importante medida de prevenção contra Sniffing. Há
ainda algumas técnicas de detecção de Sniffing tais como MAC Detection, DNS Detection, e Load
Detection. Esta técnica é também utilizada hoje para obter dados em redes Wireless.
Port Scanning
Os Port Scanner são software´s que utilizam prospecção dos serviços que são acessíveis e definidos
por meio de mapeamento das portas TCP e UDP. Com as informações obtidas através do Port
Scanning o atacante pode explorar diretamente os serviços disponíveis, economizando esforços em
ataques a serviços inexistentes. O “Nmap” é o utilitário de port Scanner mais largamente utilizado e
poderoso.
37. titulo
3838
Scanning de vulnerabilidades
Após o mapeamento dos sistemas que podem ser atacados com as técnicas apresentadas
acima, e dos serviços que estão disponíveis, as vulnerabilidades serão procuradas por
meio dos Scanners de vulnerabilidades. Algumas vulnerabilidades comumente
encontradas nas redes que os Scanners de vulnerabilidade podem analisar em roteadores,
servidores, Firewall’s e sistemas operacionais são:
- Compartilhamento de arquivos que não são protegidos por senhas;
- Configuração incorreta;
- Software desatualizado;
- Buffer Overflow em serviços, aplicativos e sistemas operacionais;
- Configurações de roteadores potencialmente perigosas;
O aspecto a considerar quanto ao Scanning de vulnerabilidade é que ela é uma
ferramenta de uso permitido pelos administradores de segurança para validação das
configurações e verificação de vulnerabilidades do ambiente.
38. Os riscos, ameaças e vulnerabilidades em TI
3939
IP Spoofing
O IP Spoofing é um ataque no qual o endereço IP real do atacante é camuflado por meio
de técnicas específicas de modo que ele não seja percebido ou seja percebido com uma
máquina válida na rede. Requer outras técnicas adicionais para completar o ataque. Pode
ser bloqueado por meio de filtros em roteadores ou impedindo com uso de regras de
Firewall que pacotes com endereços internos da rede tenham origem na rede externa.
39. Os riscos, ameaças e vulnerabilidades em TI
4040
Ataques de negação de serviços
Os ataques de negação de serviços ou em inglês – Denial of Service – (DoS), fazem com que os
recursos de determinados sistemas sejam explorados de forma tão contundente que os serviços
disponíveis naquele servidor fiquem paralisados, causando negação dos serviços válidos para
usuários legítimos do sistema. Os principais ataques DoS são:
Syn Flood
Têm como tradução enchente de Syn´s. Syn é um comando TCPIP de requisição de conexão. Quando
um atacante envia uma grande quantidade de comandos SYN a um Host, ele se torna incapaz de
atender a todas estas requisições, ocorre um overflow de memória e e as requisições de usuários
legítimos são desprezadas gerando negação de serviços. Ações de combate incluem a configuração
dos servidores para gerarem alertas quando a quantidade de requisições de SYN chega a um
determinado número.
Smurf
Ataques Smurf exploram o envio de um grande número de pacotes ping para o endereço de
broadcast da rede com os pacotes de envio tendo como endereço de origem a máquina a ser afetada.
Assim, todos os Hosts IP da rede responderão ao ICMP request sendo o endereço de destino a
máquina afetada. Praticamente toda a rede é afetada pois o tráfego de pacotes aumenta
significativamente, e o Host atacado não resiste aos milhares de pacotes destinados a ele e para de
responder aos serviços legítimos.
42. Os riscos, ameaças e vulnerabilidades em TI
4343
Vírus propriamente ditos
São programas que destroem dados ou sistemas de computador. Esses programas se replicam e são
transferidos de um arquivo a outro no mesmo computador.
No sentido mais comum da palavra, um vírus é um agente infeccioso, sem metabolismo
independente e que pode se replicar somente no interior de células hospedeiras vivas.
O termo vírus foi utilizado pela primeira vez durante a década de 80 para definir um programa capaz
de copiar a si mesmo para dentro de um programa maior, modificando este programa, que pode ser
chamado de hospedeiro. Ao se executar o hospedeiro, o vírus de computador pode fazer outras
cópias de si mesmo e infectar outros programas. Quando os programas são trocados pelos usuários,
eles levam consigo o vírus, infectando outros sistemas. Para infectarem outros computadores os vírus
devem trafegar por disquetes, e-mail´s ou outra forma mídia física de transposição do arquivo
infectado de um computador ao outro.
Worms
Tem a tradução de vermes. São programas maliciosos independentes que, diferentemente dos vírus,
não necessitam contaminar outros programas ou mesmo de interferência humana para se
propagarem. Tem a capacidade de auto-replicação.
Espalham-se de uma rede para outra com extrema rapidez, atingindo dezenas de computadores
quase que simultaneamente.
Aproveita-se de brechas ou vulnerabilidades nos sistemas, para se instalarem e se replicarem através
de computadores conectados em rede.
43. Os riscos, ameaças e vulnerabilidades em TI
4444
Back door
Literalmente traduzido, "porta dos fundos". São mecanismos introduzidos em um sistema pelos seus
próprios responsáveis. Sua função principal é abrir portas de entrada para futuras invasões e fornecer
uma forma de entrada no sistema, que contorne as proteções principais.
Apesar de nem sempre elaborados com intenções maliciosas, algumas vezes podem ser deixados
acidentalmente, criando grandes problemas para os usuários finais.
Trojan Horses (Cavalos de tróia)
Na mitologia clássica, o cavalo de Tróia foi um imenso cavalo de madeira, construído pelos gregos sob
a liderança de Odisseu. Após sua construção, encheram seu interior com soldados armados e o
deixaram como oferenda às portas da cidade de Tróia, em sinal de uma suposta rendição. Uma vez
levado para dentro da cidade, os soldados saíram do cavalo e abriram os portões para o restante do
exército grego, que atacou a cidade e ganhou uma guerra que durou cerca de dez anos.
Analogamente, um cavalo de Tróia em computadores é um programa que pode ter aparência
inofensiva, mas esconde uma outra função que é executar uma operação não autorizada.
Os Cavalos de Tróia vêm camuflados em software´s legítimos que possuem códigos ocultos,
executando atividades normalmente maliciosas e não previstas, cujo objetivo é instalar um grampo
de teclado e/ou de mouse. Sua ação é normalmente silenciosa e não causa danos ao PC infectado.
44. Os riscos, ameaças e vulnerabilidades em TI
4545
Spyware
Normalmente com objetivo de fazer um anúncio comercial, mas podendo capturar endereços de e-
mail, cookies e até mesmo senhas, estes programas capturam informações do usuário sem seu
conhecimento. São normalmente escondidos em alguns programas freeware (gratuitos) e shareware
(com período de uso determinado) e, uma vez instalados, monitoram as atividades do usuário na
internet e as transferem a outra pessoa.
BOT´s
Os Bot´s se diferenciam dos demais Malware´s citados acima pois tem o intuito da instalação secreta
de programas maliciosos em computadores para permitir que um invasor possa controlá-los
remotamente para executar diversas ações criminosas.
"Os comandos executados pelos bots normalmente incluem: varrer a rede em busca de outros
computadores vulneráveis e propagar o bot quando encontrá-los; desferir ataques de negação de
serviço; furtar dados do computador onde está instalado; instalar outros programas maliciosos, como
keyloggers ou screenloggers, para furtar senhas bancárias, entre outras; enviar SPAM´s etc".
45. Os riscos, ameaças e vulnerabilidades em TI
4646
SCAM
Associado às fraudes, o SCAM é a derivado da abreviação da palavra inglês “Confidence Man”
(homem de Confiança). O SCAM é um termo antigo que foi usado para qualificar aqueles criminosos
que ofertam produtos que prometem falsos resultados para obtenção de ganhos financeiros.
Eles tratam de oportunidades enganosas. Entre as ofertas mais comuns estão as oportunidades
miraculosas de negócios ou emprego, propostas para trabalhar em casa e empréstimos facilitados.
Todos podem ser encontrados em uma lista elaborada pela Federal Trade Commission em 1998 que
reúne 12 tipos comuns de fraudes e golpes relacionados a spam nos Estados Unidos na época.
Hoje, se utilizam da curiosidade e ingenuidade dos usuários chamando sua atenção para assuntos de
seu interesse, como escândalos púbicos, políticos, religiosos, catástrofes ou temas pornográficos.
Phishing
Associado à estelionato, os Phishing são mensagens que assumem o disfarce de spam comercial ou
cujos títulos simulam mensagens comuns, como comunicados transmitidos dentro de uma
organização ou mensagens pessoais oriundas de pessoas conhecidas. Tal disfarce tem como objetivo
iludir o destinatário, solicitando-lhe que envie dados confidenciais para algum endereço eletrônico ou
que se cadastre em uma página da Internet que na verdade é uma cópia falsa de alguma outra página
legítima. O Phishing SCAM como chamamos no Brasil é o meio pelo qual Hackers, fraudadores e
criminosos em geral, utilizando a engenharia Social para explorar a curiosidade e ingenuidade dos
usuários, usando SPAM como meio de distribuir em larga escala suas armadilhas.
Na maioria dos casos, essas armadilhas são criadas para obter informações pessoais e senhas para
que possam ser usadas em algum tipo de fraude ou para transferências bancárias e compras pela
Internet.
46. Os riscos, ameaças e vulnerabilidades em TI
4747
Proteção e Defesa de Redes – Tecnologias de Segurança
Para tratar as ameaças e vulnerabilidades que se apresentam, a proteção das redes é uma
exigência que se impõe aos negócios. Proteção não é um elemento isolado e sim um
conjunto de estratégias baseados em procedimentos e tecnologias postas em prática com
o fim de minimizar riscos.
Estas estratégias devem materializar-se em um sistema que deverá tratar da Gestão de
segurança Corporativa e deverá englobar Políticas, Tecnologia, Processos e Pessoas que
são pilares que devem ser tratados para o estabelecimento de proteção de redes,
elementos fundamentais a serem evidenciados em um planejamento global de segurança
das informações.
47. Os riscos, ameaças e vulnerabilidades em TI
4848
Arquiteturas de redes Seguras
São todos os elementos de proteção e defesa de rede postos em prática para proteger os
ativos da organização. Arquitetura de rede segura permite operacionalizar a política de
segurança.
O principal objetivo é proteger o acesso aos elementos-chave da infra-estrutura de rede,
bem como as informações que são armazenados e que nela trafegam.
A arquitetura de rede segura é importante e se faz necessária pelos seguintes motivos:
- Necessária para especificar produtos de segurança de infra-estrutura tais como firewalls,
IDS, roteadores, proxies, VPNs, sistemas de criptografia, autenticação e de controle de
acesso à rede, aos sistemas operacionais e às aplicações;
- Necessária para proteger as redes da corporação contra os ataques aos quais estamos
expostos
- Necessária para especificar os controles necessários, baseados em ferramentas e
processos de gerenciamento e monitoração de segurança;
- Necessária para Definir a estrutura de alta disponibilidade para os sistemas críticos;
- Necessária para gerar procedimentos e métricas para os controles;
48. Os riscos, ameaças e vulnerabilidades em TI
4949
Elementos principais e necessários de uma arquitetura de rede segura:]
- Sistemas de autenticação e de controle de acesso robustos e confiáveis para prover
garantia da identidade, do sigilo e da privacidade daqueles que acessam dados críticos;
- Sistemas que permitam controle total da rede e nos permita detectar as ameaças e
potenciais ataques;
- Sistemas e protocolos de segurança baseados em criptografia que garantam sigilo e -
privacidade às comunicações;
- Sistemas que garantam proteção da rede contra as ameaças de ataques externos e
internos;
- Sistemas que garantam disponibilidade da tecnologia que sustenta os ativos para prover
continuidade dos negócios em momentos de crises.
49. Os riscos, ameaças e vulnerabilidades em TI
5050
Autenticação
A autenticação é o meio pelo qual se identifica um usuário ou entidade qualquer que deseja obter
acesso aos recursos de determinado sistema. Entende-se genericamente por usuário, uma conta de
Login ou mesmo outra entidade qualquer que deseja ter acesso aos recursos daquele sistema que o
está autenticando. Autenticação permite obter a garantia de que o usuário ou entidade que solicita
ser autenticado por determinado sistema é realmente quem ele diz que ser. A autenticação pode ser
realizada pelos sistemas de autenticação baseada em três fatores:
O que o usuário tem pode ser uma forma de autenticação baseada naquilo que você possui e só você possui. Por
exemplo, um crachá, um cartão de crédito, uma chave física, ou um par de chaves públicas contidas em
determinado dispositivo. Neste último caso, você possui a chave privada e o elemento autenticador possui sua
chave pública.
O que você sabe e só você sabe, pode ser definido como uma senha, ou um segredo de cofre.
No caso da senha, o elemento autenticador sabe a senha e você é autenticado via “Challenge Response” (Resposta
ao desafio), Se você acertar a senha o sistema autentica você.
O que você é define algo pessoal, físico, impressão de fundo de olho, reconhecimento de voz, uma impressão
digital, ou reconhecimento digital de assinatura, métodos chamados de autenticação biométrica.
- O que você tem;
- O que você é;
- Ou o que você sabe.
50. Os riscos, ameaças e vulnerabilidades em TI
5151
Autorização ou controle de acesso
Autorização define o que o usuário ou entidade autenticada pode acessar no sistema no
qual está autenticado. Determina as alçadas de autoridade de determinada entidade ou
indivíduo frente a um sistema:
- Este usuário pode ver ou alterar a tabela de salários do RH?
- Qual o valor dos pedidos ele pode aprovar?
- Este usuário pode alterar as tabelas de acesso de equipamentos de rede?
- Qual lista de acesso ele pode alterar?
- Este usuário tem acessos privilegiados aos sistemas operacionais que suportam
aplicações ou serviços de infra estrutura?
- Qual nível de acesso ele possui? Quais serviços do SO ele tem privilégios de
administração?
Normalmente, o controle de acesso em sistemas é uma função da aplicação que decide o
nível de acesso baseado na autenticação e permitem garantir que somente as pessoas
autorizadas possam ler as informações a eles destinadas.
51. Os riscos, ameaças e vulnerabilidades em TI
5252
Sistemas de Gerenciamento de identidades e do controle de acesso
- Conceito de gerenciamento de identidades
Administração da identidade digital de uma pessoa em um contexto computacional
representada pelas várias contas de usuário e seu ciclo de vida, a saber:
Criação da conta
- Provisionamento da conta
- Alteração da conta
- Bloqueio da conta
Conceito de controle de acesso
Administração do perfil e das permissões de acesso que uma identidade digital possui em
um determinado contexto computacional e seu ciclo de vida, a saber:
• Definição do perfil
• Concessão do acesso
• Alterações no acesso e/ou no Perfil
• Remoção do acesso
52. Os riscos, ameaças e vulnerabilidades em TI
5353
Em virtude do exposto, hoje nos perguntamos como andam as identidades de usuários e
o controle de acesso às redes, aos sistemas operacionais e às aplicações.
Perguntamo-nos também:
• Quantos IDs e Senhas em média , um funcionário de sua empresa possui ? 3, 5, 10 ?
• Quanto tempo um novo funcionário tem de aguardar para receber acesso para todos os
sistemas que necessita ? 3, 5, 15 dias ?
• Quantos administradores de plataformas tem que criar usuários ? 3, 5, 10 ?
• Quantos chamados são feitos no Help Desk para problemas com senhas/ IDs ?
• Quantos IDs inativos/órfãos sua empresa possui ?
• Como ocorre o gerenciamento dos acessos ao longo da vida de um usuário na empresa?
• As credenciais de acesso são revistas quando um funcionário muda de função na
empresa?
54. Os riscos, ameaças e vulnerabilidades em TI
5555
Filtros de pacotes
Realizam o roteamento de pacotes de maneira seletiva, baseado em regras definidas no
Firewall, aceitando ou descartando pacotes por meio de análises de seus cabeçalhos.
Atuam na camada 3 no nível de rede. As regras do Firewall devem traduzir as políticas de
segurança da organização. Este tipo de filtros é flexível, rápido e barato, mas não
consegue implementar alguns níveis de segurança como evitar o IPSpoofing por ser
baseado em tabelas estáticas. Os firewall modernos utilizam outra tecnologia de filtragem
de pacotes chamada Stateful Inspection ou Filtro com base em estados.
Proxies
Os Proxies são software que funcionam como Gateway´s entre duas redes, permitindo
que se estabeleçam requisições da rede interna para a externa e verificando o conteúdo
do retorno das requisições com base em regras estabelecidas.
Os Proxies interceptam as conexões internas e abrem novas conexões com o mundo
externo de forma que os pacotes passam a ter origem nele e não nos hosts internos,
impedindo assim conexões diretas do cliente interno com os servidores externos. Eles
trabalham no nível de aplicação e transporte.
55. Os riscos, ameaças e vulnerabilidades em TI
5656
NAT
Network Address Translation, ou NAT, não foram criados como componentes de segurança
e sim para tratar problemas de escassez de endereçamento IP em grandes redes.
O NAT faz a tradução dos endereços IP internos das redes que são endereços IP
reservados, conforme tabela abaixo, para IP válidos na internet, quando a rede externa é
acessada. Este serviços é essencial nos Firewall´s.
Abaixo mostra os endereços reservados para redes internas, inválidos na internet.
10.0.0.0 10.255.255.255 (10/8 prefix)
172.16.0.0 172.31.255.255 (172.16/12 prefix)
192.168.0.0 192.168.255.255 (192.168/16 prefix)
56. Os riscos, ameaças e vulnerabilidades em TI
5757
IDS
IDS significa Intrusion Detection System – Sistema de Detecção de Intrusão – e foi
projetado para detectar intrusões e ataques à redes. É mais um componente do conjunto
de produtos do arsenal interno de defesa a serem implementados para a proteção de
redes.
A grande aplicabilidade dos IDS é que eles podem detectar tentativas de ataques à serviço
em portas legítimos da rede, que normalmente tem que ser permitidas, passando pelo
Firewall.
Durante muito tempo a abordagem de uso de IDS foi feita com base em proteção de
borda, que significa proteger os perímetros de rede que estão expostos ao ambiente
externo. Hoje, com as integrações a interconexões de redes do ambiente colaborativo
necessário aos negócios, a proteção interna das redes com IDS já é uma realidade que
deve ser considerada. Nesta abordagem o objetivo é detectar atividades anômalas,
incorretas ou impróprias feitas pelos usuários internos aos servidores internos ou
externos da organização.
58. Agenda
5959
Segurança da informação – noções fundamentais
Gestão de segurança da informação
Os riscos, as ameaças e vulnerabilidades em TI
Estabelecendo controle e contramedidas de segurança
Perícia forense
120
120
120
120
90
59. Estabelecendo controle e contramedidas de segurança
6060
Conceitos e Importância
Como ponto de partida na condução do planejamento de segurança da informação,
indicado no texto na norma NBR ISO/IEC 17799, a ser tratada adiante em nosso estudo, as
Políticas de Segurança merecem uma abordagem específica.
Seu desenvolvimento e elaboração requerem cuidados especiais para torná-la
implementável.
As políticas de segurança deve tratar aspectos humanos, culturais e tecnológicos, levando
em consideração os processos de negócio.
Como conceito, o planejamento de segurança deve considerar a Política como o topo de
uma hierarquia de documentos que abordarão e orientarão as ações de implementações
futuras de negócios, baseados em tecnologias, processos e pessoas.
60. 6161
As Diferenças entre Política (“policy”), Normas (“standards” ou “statements”), e Procedimentos
(“guidelines”) quanto a sua aplicabilidade em uma infraestrutura de segurança deve ser estabelecida
de forma a tornar consenso o uso de diversos nomes aplicáveis a estes conceitos entre aqueles que
participem do processo de gestão de segurança das informações.
Sob este prisma, as seguintes definições são necessárias:
Uma Política é tipicamente um documento que descreve requerimentos específicos ou regras que
devem ser seguidas. No mundo da segurança da informação ou de redes, políticas são normalmente
específicas à determinada área. Por exemplo, uma política de uso deveria cobrir as regulamentações
necessárias para uso apropriado de recursos de tecnologia da informação e suas facilidades.
Uma Norma é tipicamente uma coleção sistematizada de procedimentos específicos ou
requerimentos que devem ser seguidos por quaisquer indivíduos numa organização. Abordam os
detalhes da Política. São descrições ou indicações de uma conduta aceitável para estabelecimento de
melhores práticas. As normas devem conter as punições aplicáveis em caso de desobediência às
condutas aceitáveis.
Os Procedimentos são tipicamente recomendações de como fazer. Elas existem para que todos
possam cumprir aquilo que foi estabelecido na política e para que administradores de sistemas
possam configurar seus sistemas de acordo com as necessidades do negócio.
Estabelecendo controle e contramedidas de segurança
61. 6262
Elementos básicos da Política
As políticas aplicáveis à tecnologias devem ser centradas nos detalhes mais relevantes do
ambiente computacional de rede, e devem ser baseadas nos seguintes princípios gerais:
As considerações acima podem ser um ponto de partida para a elaboração da política
geral e para a elaboração de normas específicas para cada um destes casos, dando
continuidade ao acervo de documentos que constituem as Políticas de modo mais amplo.
- Definir a informação ou recursos a serem protegidos
- Especificar as ameaças às quais os recursos estão sujeitos
- Especificar as vulnerabilidades que podem ser exploradas pelas ameaças
- Definir abrangência e escopo de atuação
- Definir quem tem autoridade para sancionar, implementar e fiscalizar o cumprimento da
política
- Definir meios de distribuição e forma de divulgação
- Definir freqüência de revisão
Estabelecendo controle e contramedidas de segurança
62. 6363
As seguintes normas podem ser desenvolvidas com base no que foi declarado na política,
seguem alguns exemplos.
- Normas para acesso local e remoto e uso de acervos computacionais;
- Normas para conexões de rede locais e remotas de parceiros;
- Normas para definição de atuação contra incidentes de segurança;
- Normas para senhas
- Normas para Firewall
- Normas para e-Mail e Internet
Estabelecendo controle e contramedidas de segurança
63. 6464
Relação e definição de Políticas, Normas e Procedimentos.
Estabelecendo controle e contramedidas de segurança
64. 6565
Estações de rede seguras
As estações de trabalho da rede internas que forem consideradas mais críticas requerem
os mesmos cuidados dos Laptop´s e Notebook´s.
Impedimento de instalação de software é um requerimento importante. Licenciamento
corporativo é coisa séria. A utilização de FreeWare pode comprometer tanto a privacidade
quanto a performance das máquinas.
Controle de atualização dos antivírus e do comportamento das estações se fazem
necessários.
Cuidados especiais devem ser tomados com os Browsers. Configurações de segurança e
consciência sobre os ataques são fortes pontos de apoio para minimizar os riscos.
Estabelecendo controle e contramedidas de segurança
65. 6666
Gerenciamento e monitoração da arquitetura de Segurança
Seguindo nas medidas e controles para proteção de redes, um ponto importante já citado
é a questão dos controles que precisam ser estabelecidos para suportar a arquitetura de
rede segura implementada.
Além daqueles já citados, outros são normalmente aplicados com base em ferramentas e
procedimentos de gerenciamento e monitoração da infra-estrutura de tecnologias de
segurança. Eles têm por objetivo garantir a saúde da rede como um todo, não enfocando
apenas os elementos de proteção de forma individualizada.
Estabelecendo controle e contramedidas de segurança
66. 6767
Resposta a Incidentes de Segurança
As equipes de respostas a incidentes deverão atuar na estrutura de tecnologia e
eventualmente de negócios elaborando planos de atendimentos emergenciais diante de
ataques de Hackers, Worm´s invasores e outros agentes externos ou internos para
imediata intervenção e bloqueio da vulnerabilidade exposta.
Contatos com equipes de respostas a incidentes de outras companhias, participação de
“mailing Lists” de empresas especializadas em segurança na Internet ou a contratação de
serviços de respsotas a incidentes de empresas especializadas são alternativas que devem
ser avaliadas conforme o enfoque estratégico de segurança da empresa.
Estabelecendo controle e contramedidas de segurança
67. 6868
Contingência, alta disponibilidade e Continuidade dos negócios.
A continuidade dos negócios das corporações dos dias atuais está intrinsecamente relacionada com a
disponibilidade da estrutura de tecnologia das informações.
Neste contexto, a segurança das informações e sua atuação direta nas redes corporativas têm papel
fundamental no processo de continuidade dos negócios, uma vez que tem objetivo semelhante que é
o de melhorar os aspectos de confidencialidade, integridade e principalmente de disponibilidade dos
negócios.
Cada vez mais os profissionais de segurança da informação precisam integrar suas soluções de
proteção de redes aos negócios e, numa visão abrangente, adequá-los aos requisitos de
disponibilidade exigidos.
Este papel não deve negligenciado pela segurança de redes, pois um episódio de invasão pode não
ser mais nocivo aos negócios do que a interrupção de serviços críticos por motivos não diretamente
associados à Hackers ou Insiders.
A atuação em si do profissional de segurança em assuntos que não estão diretamente associados à
segurança de redes é cada vez mais comum, exigindo destes profissionais habilidades cada vez mais
abrangentes.
Atuar de forma a prover continuidade de negócios significa atuar diretamente em soluções que
disponibilizem alta disponibilidade ao ambiente de TI. Entre elas estão incluídas soluções de alta
disponibilidade de armazenamento de dados, de servidores, componentes de rede e de
componentes da arquitetura de segurança, e soluções de contingência que se adequem às
necessidades da empresa.
Estabelecendo controle e contramedidas de segurança
68. 6969
Estrutura de armazenamento e salvaguarda de informações
Definição dos termos:
- Contingência tecnológica – garantia da continuidade dos serviços na ocorrência de uma
falha.
- Backup – capacidade de salvaguarda e recuperação de dados referentes a um contexto
anterior
Estabelecendo controle e contramedidas de segurança
69. 7070
Alta disponibilidade e contingência
A ameaça de perda de viabilidade econômica de negócios em função de interrupção da
operação de TI deve direcionar as estratégias e tecnologias empregáveis para alta
disponibilidade. Alta disponibilidade dever ser trabalhada de forma que possamos avaliar
e selecionar a mais apropriada estratégia de continuidade de negócios.
Em termos teóricos, a declaração de missão do conceito de alta disponibilidade pode ser
assim encarada: “Identificar e implementar soluções de alta disponibilidade que facilitem a
contínua melhora na qualidade dos serviços, que seja elemento catalisador da melhoria de
performance dos negócios e que garantam a sua continuidade”.
Alta disponibilidade leva a redução de custos de propriedade pela diminuição de índices
de falhas e evitando seu impacto nos negócios.
Estabelecendo controle e contramedidas de segurança
70. 7171
As exposições a episódios de baixa disponibilidade e interrupções de serviços é
diretamente proporcional ao grau de dependência de organização quanto à tecnologia da
informação, e são dirigidas pelo crescimento explosivo das intranet´s e Internet.
O novo ambiente de negócios requer operação continua, „Non-Stop”, e soluções de
contorno manuais para recuperação não são mais aceitáveis. Abaixo há uma ilustração das
perdas apresentadas por tipos de atividade em função do tempo de paralização das
operações.
Estabelecendo controle e contramedidas de segurança
71. 7272
A complexidade dos ambientes faz da alta disponibilidade um item difícil de ser
alcançado. Assim todo novo investimento é uma oportunidade de melhorar a
disponibilidade do ambiente.
Podemos considerar os seguintes desafios que se apresentam em se tratando da
estratégia, custo e de viabilidade de estruturas que devem ser avaliadas quanto à
disponibilidade.
- Número de plataformas diferentes
- Tamanho dos bancos de dados
- Nível de integração entre os sistemas
- Volume de dados
- Número de interfaces
- Grau de automação
- Diversidade de sistemas de rede
- Adequação das práticas de gerenciamento
- Requerimentos de performance
Estabelecendo controle e contramedidas de segurança
72. Agenda
7373
Segurança da informação – noções fundamentais
Gestão de segurança da informação
Os riscos, as ameaças e vulnerabilidades em TI
Estabelecendo controle e contramedidas de segurança
Perícia forense
120
120
120
120
90
73. Perícia forense aplicada a tecnologia
7474
A Tecnologia da Informação avançou rapidamente em pouco tempo. As instituições estão
utilizando estes avanços tecnológicos para melhorar as operações empresariais e o
potencial de mercado. Pode-se pagar contas on-line; ou comprar qualquer coisa desde
livros a mantimentos. Uma vasta quantia de importantes e sensíveis dados flui ao redor
do Cyber Espaço e a qualquer momento poderá cair em mãos maliciosas. Infelizmente,
isto acontece diariamente. Quando alguém "rouba” dado do Cyber Espaço, é chamado de
Cyber Crime. Antigamente a chave para resolver crimes era obtida através de impressões
digitais, relatórios de toxicologia, análise de rastro, documentos em papel e outros meios
tradicionais.
Enquanto estes ainda provêem pedaços muito importantes do quebra-cabeça em muitos
crimes cometidos hoje, a tecnologia adicionou uma outra dimensão com a evidência
digital. Freqüentemente mais informações podem ser ganhas da análise de um
computador que o de uma impressão digital. A história inteira de um crime pode ser
contada com a recuperação de um arquivo que pensaram ter sido apagado.
74. 7575
Da mesma maneira que com outras ciências forenses, os profissionais da lei estão
reconhecendo que a Perícia Forense pode prover evidência extremamente importante
para solucionar um crime. Como é colocada uma maior ênfase em evidência digital, se
tornará crescentemente crítico que a evidência seja controlada e examinada
corretamente.
Perícia Forense em Sistemas Computacionais é o processo de coleta, recuperação, análise
e corelacionamento de dados que visa, dentro do possível, reconstruir o curso das ações e
recriar cenários completos fidedignos.
Perícia Forense Aplicada a Redes
No Manual de Patologia Forense do Colégio de Patologistas Americanos (1990), a ciência
forense é definida como “a aplicação de princípios das ciências físicas ao direito na busca
da verdade em questões cíveis, criminais e de comportamento social para que não se
cometam injustiças contra qualquer membro da sociedade”. Portanto, define-se a perícia
forense aplicada a redes como o estudo do tráfego de rede para procurar a verdade em
questões cíveis, criminais e administrativas para proteger usuários e recursos de
exploração, invasão de privacidade e qualquer outro crime promovido pela contínua
expansão das conexões em rede.
Perícia forense aplicada a tecnologia
75. 7676
Análise Pericial
A análise pericial é o processo usado pelo investigador para descobrir informações valiosas, a busca e
extração de dados relevantes para uma investigação. O processo de análise pericial pode ser dividido
em duas camadas: análise física e análise lógica.
A análise física é a pesquisa de seqüências e a extração de dados de toda a imagem pericial, dos
arquivos normais às partes inacessíveis da mídia. A análise lógica consiste em analisar os arquivos das
partições. O sistema de arquivos é investigado no formato nativo, percorrendo-se a árvore de
diretórios do mesmo modo que se faz em um computador comum.
Análise Física
Durante a análise física são investigados os dados brutos da mídia de armazenamento.
Ocasionalmente, pode-se começar a investigação por essa etapa, por exemplo, quando se está
investigando o conteúdo de um disco rígido desconhecido ou danificado. Depois que o software de
criação de imagens tiver fixado as provas do sistema, os dados podem ser analisados por três
processos principais: uma pesquisa de seqüência, um processo de busca e extração e uma extração
de espaço subaproveitado e livre de arquivos. Todas as operações são realizadas na imagem pericial
ou na copia restaurada das provas. Com freqüência, se faz pesquisas de seqüências para produzir
listas de dados. Essas listas são úteis nas fases posteriores da investigação. Entre as listas geradas
estão as seguintes:
Todos os URLs encontrados na mídia. Todos os endereços de e-mail encontrados na mídia. Todas as
ocorrências de pesquisa de seqüência com palavras sensíveis a caixa alta e baixa.
Perícia forense aplicada a tecnologia
76. 7777
Perícia Forense para Obtenção de Evidências
Diariamente há diversos tipos de casos de fraudes e crimes (Cyber Crimes), onde o meio
eletrônico foi em algum momento utilizado para este fim. A missão da perícia forense é a
obtenção de provas irrefutáveis, as quais irão se tornar o elemento chave na decisão de
situações jurídicas, tanto na esfera civil quanto criminal. Para tanto, é critico observar uma
metodologia estruturada visando à obtenção do sucesso nestes projetos.
Identificação
Dentre os vários fatores envolvidos no caso, é necessário estabelecer com clareza quais
são as conexões relevantes como datas, nomes de pessoas, empresas, órgãos públicos,
autarquias, instituições etc., dentre as quais foi estabelecida a comunicação eletrônica.
Discos rígidos em computadores podem trazer a sua origem (imensas quantidades de
informações) após os processos de recuperação de dados.
Perícia forense aplicada a tecnologia
77. 7878
Preservação
Todas as evidências encontradas precisam obrigatoriamente ser legítimas, para terem sua
posterior validade jurídica. Sendo assim, todo o processo relativo à obtenção e coleta das
mesmas, seja no elemento físico (computadores) ou lógico (mapas de armazenamento de
memória de dados) deve seguir normas internacionais. Parte-se sempre do princípio de
que a outra parte envolvida no caso poderá e deverá pedir a contraprova, sobre os
mesmos elementos físicos, então o profissionalismo destas tarefas será critico na
sequência do processo, lembrando sempre que, caso o juiz não valide a evidência, ela não
poderá ser reapresentada.
Análise
Será a pesquisa propriamente dita, onde todos os filtros de camadas de informação já
foram transpostos e pode-se deter especificamente nos elementos relevantes ao caso em
questão. Novamente, deve-se sempre ser muito profissional em termos da obtenção da
chamada “prova legítima”, a qual consiste numa demonstração efetiva e inquestionável
dos rastros e elementos da comunicação entre as partes envolvidas e seu teor, além das
datas, trilhas, e histórico dos segmentos de disco utilizados.
Perícia forense aplicada a tecnologia
78. 7979
Apresentação
Tecnicamente chamada de “substanciação da evidência”, ela consiste no enquadramento
das evidências dentro do formato jurídico como o caso será ou poderá ser tratado. Os
advogados de cada uma das partes ou mesmo o juiz do caso poderão enquadrá-lo na
esfera civil ou criminal ou mesmo em ambas. Desta forma, quando se tem a certeza
material das evidências, atua-se em conjunto com uma das partes acima descritas para a
apresentação das mesmas.
Perícia forense aplicada a tecnologia
79. 8080
Configurar uma rede sem fio é incrivelmente fácil. Não há cabos para puxar e não é necessário fazer
buracos na parede; basta conectar o ponto de acesso (AP) sem fio, deixar que o gerenciador de
conexão sem fio faça a auto-associação e pronto! Você está online. Mas, infelizmente, todas as outras
pessoas que por acaso estão no intervalo de difusão do seu AP também estão online, e aí começa o
problema.
Toda empresa tem informações que devem ser mantidas em sigilo. Segredos comerciais, código-fonte
ou até mesmo os livros contábeis da empresa podem cair em mãos perversas muito facilmente. Se
houver dados de cliente armazenados na sua rede, bloquear o acesso é algo ainda mais imperativo.
Se alguns números de cartão de crédito forem divulgados, isso poderá destruir para sempre a
confiança dos seus clientes; em alguns estados dos EUA, a simples possibilidade de roubo de números
de cartão de crédito pode levar à instauração de processos por divulgação de dados sigilosos. E o
acesso à rede sem fio não pára no recinto da sua empresa; se a sua rede for aberta, qualquer pessoa
poderá se instalar em sua área de estacionamento e se conectar.
Perícia forense aplicada a tecnologia
80. 8181
Saiba quem é o seu inimigo! Há três tipos básicos de pessoas mal-intencionadas contra as
quais você precisa proteger a sua rede: "caçadores de emoções" (thrillseekers) e
wardrivers, ladrões de largura de banda e invasores profissionais.
Os caçadores de emoções e wardrivers casuais são as pessoas que andam por aí com um
laptop, procurando redes sem fio para se conectar. Geralmente eles não causam mal e são
motivados pela aventura de fazer uma invasão eletrônica. As medidas de segurança mais
simples normalmente são suficientes para detê-los, principalmente se houver outras
redes abertas por perto.
Perícia forense aplicada a tecnologia
Os ladrões de largura de banda sabem exatamente o que
desejam. Eles podem enviar grandes quantidades de spams e
baixar filmes pirateados ou pornográficos. Seja qual for a ação
desses ladrões, há um motivo que justifica o fato de atuarem na
rede da sua empresa e não em uma rede própria: eles não têm
de se preocupar com o fato de serem rastreados, não precisam
se responsabilizar por seus atos e não têm de pagar pela largura
de banda que utilizam. Como se beneficiam da invasão, estão
mais dispostos a entrar em sua rede, mas, assim como os
caçadores de emoções, buscam a opção mais fácil disponível.
81. Perícia forense aplicada a tecnologia
8282
Os invasores profissionais são raros, mas assustadores. Ou eles querem os dados armazenados na sua
rede ou querem prejudicá-lo. Não são intimidados por medidas de segurança casuais, uma vez que
não procuram alvos fáceis. Esses invasores querem informações valiosas que só você possui, esperam
que elas estejam minimamente protegidas e estão preparados para trabalhar duro a fim de obter
acesso à sua rede ou até mesmo arruiná-la totalmente.
Não custa muito para que uma pessoa mal-intencionada se torne ainda mais perigosa quando tem
pressa, e a segurança da sua rede pode ser comprometida por um único ponto com menos proteção.
Em um acontecimento recente que ocupou bastante espaço na mídia, três wardrivers descobriram
que uma cadeia nacional de lojas de varejo da região do meio-oeste dos EUA estava usando scanners
de preços com tecnologia sem fio.
Não havia acesso ao cliente por pessoas, apenas a transferência de dados automatizada a partir do
sistema do ponto de venda. Todavia, as transações não eram criptografadas, e o AP usava a senha de
administração padrão, por isso os invasores conseguiram acessar a rede geral da loja. Eles instalaram
um pequeno programa em um dos servidores corporativos para capturar números de cartão de
crédito em um arquivo de texto, que poderiam recuperar facilmente na área de estacionamento. Os
três ladrões foram presos e condenados por fraude, mas você não quer que a sua empresa ganhe
esse tipo de publicidade, não é mesmo?
82. Cenário 1
8383
Café com ponto de acesso
Você está montando uma rede como um serviço para os seus clientes, para que eles
venham ao seu estabelecimento mais vezes, fiquem por mais tempo e tomem mais café.
Os usuários podem ser qualquer pessoa que entre no café com um laptop, por isso a
facilidade de uso é o aspecto mais importante. Como você está operando uma rede
pública à qual as pessoas irão se conectar, não há muito o que se pode ou deve fazer.
Tentar configurar alguma forma de autenticação ou criptografia espantará os clientes.
Certamente, você não quer ter o trabalho de manter um banco de dados de usuários e
exigir que as pessoas façam logon. A solução recomendada: usar um AP que permita o
isolamento de clientes para ajudar a protegê-los uns dos outros. Outra recomendação é
manter essa rede completamente separada da rede interna da loja, caso você tenha uma.
83. Cenário 2
8484
Um pequeno escritório de contabilidade
Você está montando uma rede para que os seus três funcionários possam compartilhar
facilmente o trabalho e arquivos. Os usuários são esses três funcionários e você, por isso
uma pequena configuração de cliente não é algo complicado. Além dos wardrivers e
ladrões de largura de banda, você precisa proteger os dados financeiros dos seus clientes.
A solução recomendada: todo o equipamento sem fio deve ser novo e ter suporte aos
recursos e protocolos mais modernos, e você deve configurar o tipo de segurança WPA-
Personal. Como chave de autenticação pré-compartilhada, escolha uma palavra que não
esteja dicionarizada.
A nossa regra é escolher uma senha, uma sentença complexa (com letras maiúsculas e
minúsculas, números e caracteres especiais) fácil de lembrar, mas difícil para outras
pessoas adivinharem. Por exemplo, "Ser ou não ser? Eis a questão". Certifique-se também
de que o AP tem uma opção de desativar o isolamento de clientes, do contrário os
recursos de colaboração da rede serão perdidos.
84. Cenário 3
8585
Escritório de advocacia com acesso de convidado
A sua estrutura de apoio tem conexão sem fio para que todos os advogados, paralegais e assistentes
possam facilmente compartilhar arquivos e trabalhar juntos nos casos. Você também oferece acesso
de convidado para que os clientes ou advogados que visitam o escritório possam acessar os
respectivos arquivos. A segurança aqui é um aspecto incrivelmente vital; se os registros legais dos
seus clientes vazarem, você não só perderá um negócio, mas poderá ter o registro de advogado
cassado ou sofrer conseqüências criminais. A solução recomendada: monte duas infra-estruturas sem
fio. Use APs de alta qualidade que dêem suporte ao tipo de segurança WPA2-Enterprise e a SSIDs
duplos, um para a estrutura de apoio e outro para o acesso de convidado.
Configure o lado do funcionário para usar WPA2-Enterprise para autenticação e criptografia. Você
precisará de um servidor RADIUS (execute os Serviços de Autenticação da Internet apenas nos
controladores de domínio, para manter a simplicidade) e de software cliente atualizado (Windows XP
SP2 pelo menos). Se você usar EAP-TLS para autenticação, precisará também de certificados digitais.
Configure o lado do convidado como uma rede pública aberta. Mais uma vez, os convidados não
conseguirão se integrar facilmente a protocolos como WPA-Personal ou WPA-Enterprise, por isso
você deve poupá-los (e a si mesmo) desse aborrecimento. Permita a funcionalidade de VPN (rede
virtual privada) de saída no lado do convidado, de modo que os convidados possam se conectar às
suas próprias redes corporativas a fim de recuperar dados.
85. Perícia forense aplicada a tecnologia
8686
A segurança da rede sem fio não é uma proposta única para todas as necessidades. Antes mesmo de
pensar em implementar um projeto de segurança, você deve considerar várias questões.
Quem são os usuários? São os seus funcionários ou clientes? Quanto da configuração os usuários
poderão acessar? Serão sempre as mesmas pessoas que usarão a rede todos os dias ou pessoas
diferentes?
Por que você está instalando uma rede sem fio? Deseja compartilhar arquivos entre funcionários?
Deseja um gateway para a Internet? Você quer oferecer acesso sem fio aos seus clientes com a
intenção de atraí-los ao seu estabelecimento? Pretende substituir um cabeamento Token Ring antigo
nas suas instalações?
O que você está tentando proteger? Você não precisa ter uma infra-estrutura de segurança invejada
pelo Pentágono. O que você precisa é de segurança suficiente para que o trabalho de invadir a sua
rede não compense o valor dos dados contidos nela. Números de cartão de crédito, código-fonte,
registros médicos ou legais, tudo isso tem muito valor. O manual do funcionário ou a programação de
turnos? Talvez você considere esses recursos de pouco valor, mas, para alguém que está envolvido
com engenharia social, eles contêm informações altamente úteis sobre as práticas da sua organização
e os hábitos dos seus funcionários. Até mesmo a largura de banda é valiosa. No entanto, lembre-se
de que invasores inteligentes conseguem entrar em lugares inesperados, por isso certifique-se de que
você não está arriscando mais do que imagina.
86. Perícia forense aplicada a tecnologia
8787
Como não proteger uma rede sem fio
Há muitos conselhos falsos sobre segurança de conexões sem fio circulando na Internet. Eles se repetem com
freqüência em artigos e seminários porque, bem, "parecem bons". Então vamos agora mesmo desfazer alguns mitos
comuns sobre a segurança de conexões sem fio.
Oculte o SSID No AP, o SSID não é nada mais do que um nome. Ele nunca deve funcionar como senha, ainda que as
pessoas o tenham transformado em uma desabilitando a sua difusão, pensando que isso tornaria suas redes mais
seguras. Isso não é verdade. Sempre que um cliente se associa a um AP, ele inclui o SSID na mensagem de
associação - em texto não criptografado, visível para qualquer pessoa que tenha um sniffer (farejador) sem fio. Por
isso, vá em frente e habilite a difusão do SSID. A configuração zero do Windows® XP requer o SSID, ele é obrigatório
segundo a especificação 802.11 e, para o tipo de segurança eficiente das conexões sem fio que recomendamos
aqui, não tem problema se ele ficar visível.
Filtre endereços MAC A filtragem de endereços MAC (controle de acesso a mídia) parece ótima na teoria. Todos os
dispositivos de rede do mundo têm um endereço MAC exclusivo; portanto, ao restringir quais endereços MAC
podem ser associados à sua rede sem fio, você está descartando a possibilidade de invasões, certo? Errado. O
problema é que o endereço MAC é enviado com o cabeçalho de cada pacote, ficando de fora de qualquer
criptografia que esteja sendo usada, e os analisadores de pacotes são altamente disponíveis, assim como os
aplicativos de falsificação do MAC. Também é um incômodo do ponto de vista administrativo, pois cada novo
dispositivo que se conecta à rede deve ser inserido no AP pelo administrador de sistemas. Evite todo esse trabalho
e não use o recurso.
87. Perícia forense aplicada a tecnologia
8888
Planos de Contingência
São desenvolvidos para cada ameaça considerada em cada um dos processos do negócio
pertencente ao escopo, definido em detalhes os procedimentos a serem executados em
estado de contingência. É acertadamente subdivido em três módulos distintos e
complementares que tratam especificamente de cada momento vivido pela empresa.
Plano de Administração de Crise
Este documento tem o propósito de definir passo – a – passo o funcionamento das
equipes envolvidas com o acionamento da contingência antes, durante e depois da
ocorrência do incidente. Além disso, tem que definir os procedimentos a serem
executados pela mesma equipe no período de retorno à normalidade. O comportamento
da empresa na comunicação do fato à imprensa é um exemplo típico de tratamento dado
pelo plano.
88. Perícia forense aplicada a tecnologia
8989
Plano de Continuidade Operacional
Este documento tem o propósito de definir os procedimentos para contingenciamento
dos ativos que suportam cada processo de negócio, objetivando reduzir o tempo de
indisponibilidade e, consequentemente, os impactos potenciais ao negócio. Orientar as
ações diante da queda de uma conexão à Internet, exemplificam os desafios organizados
pelo plano.
Plano de Recuperação de Desastres
Este documento tem o propósito de definir um plano de recuperação e restauração das
funcionalidades dos ativos afetados que suportam os processos de negócio, a fim de
restabelecer o ambiente e as condições originais de operação.
É fator crítico de sucesso estabelecer adequadamente os gatilhos de acionamento para
cada plano de contingência. Estes gatilhos são parâmetros de tolerância usados para
sinalizar o início da operacionalização da contingência, evitando acionamentos
prematuros ou tardios. Dependendo das características do objeto da contingência, os
parâmetros podem ser: percentual de recurso afetado, quantidade de recursos afetados,
tempo de indisponibilidade, impactos financeiros etc.