Professional Documents
Culture Documents
GLEDSON SCOTTI
2
RESUMO
Palavra-chave: segurana, CERT, CAIS, honeypot, vulnerabilidade, ataque, atacante, hacker, cracker, IDS, firewall, invaso, criptografia.
3
SUMARIO
RESUMO .....................................................................................................................2
1 INTRODUO .........................................................................................................5
1.1 Objetivo Geral:................................................................................................................. 7
1.2 Objetivos Especficos:....................................................................................................... 7
1.3 Justificativa: ..................................................................................................................... 8
2 SEGURANA ...........................................................................................................9
2.1 Segurana Fsica:............................................................................................................ 10
2.1.1 Requisitos para Segurana Fsica: .............................................................................. 10
2.2 Segurana Lgica: .......................................................................................................... 13
2.2.1 Alguns requisitos para Segurana Lgica: ................................................................. 13
2.3 Vulnerabilidade .............................................................................................................. 15
2.4 Invaso............................................................................................................................ 15
2.5 Ataque............................................................................................................................. 16
2.5.1 Classificao de um ataque ......................................................................................... 16
2.5.2 Classificao de ataques conforme objetivo................................................................ 17
2.5.3 Classificao dos ataques conforme a origem............................................................. 17
3.2.3.1 Classificao de ataques conforme a Severidade ..................................................... 18
2.5.3.1.1 Insignificante.......................................................................................................... 18
2.5.3.1.2 Pequeno .................................................................................................................. 19
2.5.3.1.3 Mdio...................................................................................................................... 19
2.5.3.1.4 Grande ................................................................................................................... 19
2.5.3.1.5 Catastrfico............................................................................................................ 20
2.5.3.2 Formas de ataque...................................................................................................... 20
2.5.3.2.1 Ataques automatizados.......................................................................................... 20
2.5.3.2.2 Ataques Manuais ................................................................................................... 22
2.5.3.3 Tcnicas de Ataques.................................................................................................. 23
2.6 Legislao ....................................................................................................................... 25
3 FERRAMENTAS DE SEGURANA............................................................................... 28
3.1 Firewalls.......................................................................................................................... 28
3.1.1 De acordo com os mecanismos de funcionamentos cita-se os seguintes firewalls: ..... 29
3.2 IDS - Sistema de Deteco de Intruso .......................................................................... 30
3.2.1 Em funo das tcnicas com que os IDSs reconhecem um ataque cita-se dois tipos : 31
3.2.2 Alm das tcnicas, os IDSs so classificados em dois principais tipos: ...................... 32
3.3 HoneyPots - Pote de Mel ................................................................................................ 33
4
3.3.1 Tipos de HoneyPots ..................................................................................................... 34
3.5 Criptografia .................................................................................................................... 35
3.5.1 Criptografia Simtrica ................................................................................................ 36
3.5.2 Criptografia Assimtrica............................................................................................. 36
3.6 Ferramentas de Logs ...................................................................................................... 37
4 ESTUDO DE CASO.......................................................................................................... 39
4.1 Pesquisa de Incidentes - CERT ...................................................................................... 39
4.2 Pesquisa de Incidentes - HoneyPot................................................................................. 42
5 CONCLUSO ................................................................................................................... 49
REFERENCIAS ................................................................................................................... 51
GLOSSRIO ..............................................................................................................55
ANEXO A - Projeto de Lei 1.713................................................................................57
1 INTRODUO
6
Este trabalho visa explanar noes de segurana, segurana fsica e lgica, requisitos para uma boa segurana, projeto de lei 1.713 que fala sobre penalidades de crimes ligados a informtica, vulnerabilidades, tipos de ataques, ferramentas
de segurana, criptografia. Inclui uma pesquisa de incidentes no Brasil colhida pelo
site de segurana CERT e por uma ferramenta armadilha chamada HoneyPot (pote
de mel) instalada em um computador ligado diretamente a internet, sem proteo de
firewalls ou qualquer outro sistema hardware/software de segurana. A funo desta
ferramenta simular servios autnticos, com a finalidade de colher informaes sobre os mais explorados. Com estes dados, pode-se confrontar com as estatsticas do
site de segurana CERT e verificar os servios mais visados/atacados no Brasil
(BOGO, 2005; PUTTINI, 2005).
O CERT.br, anteriormente denominado NBSO/Brasilian CERT, o Grupo
de Respostas a Incidentes de Segurana para a Internet Brasileira, mantido pelo
Comit Gestor de Internet no Brasil. o grupo responsvel por receber, analisar e
responder a incidentes de segurana da internet brasileira. Alm do processo de
respostas a incidentes em si, o CERT.br tambm atua atravs do trabalho de conscientizao, sobre os problemas da segurana, da correlao entre evento na Internet brasileira e do Auxlio a estabelecimentos de novos CSIRTs no Brasil.
O CAIS Centro de Atendimento a Incidentes de Segurana atua na deteco, resoluo e preveno de incidentes de segurana na rede acadmica brasileira, alm de elaborar, promover e disseminar prticas de segurana em redes. Entre as atividades do CAIS o atendimento a incidente de segurana, coordenao
com grupos de segurana j existentes, fomento a criao de novos grupos de segurana nos pas, disseminao de informao na rea de segurana em redes, Divulgao de recomendaes e alertas, Testes e recomendaes de ferramentas de se-
7
gurana, Recomendaes de polticas de segurana para o RNP (Rede Nacional de
Ensino e Pesquisa) e outros.
CSIRT em ingls significa Computer Security Incident Response Team.
Em portugus traduzida como Grupo de Respostas a Incidentes de Segurana.
Descrever quais servios so mais visados por invasores no Brasil, servindo como base para uma maior conscientizao das empresas pblicas e privadas
em relao aos perigos ou danos que a falta de segurana em TI pode causar.
8
1.3 Justificativa:
evidente que as atuais organizaes dependem muito dos sistemas informatizados. A quantidade de sistemas computacionais que controlam os mais variados tipos de operao e o prprio fluxo de informao da empresa vem aumentando a cada dia. Por conta disso, as organizaes brasileiras, como um todo, esto
adotando o computador como ferramenta indispensvel para seu crescimento e conseqentemente melhoria nos servios prestados.
Analisando o crescimento da internet no Brasil e o custo de equipamentos
de informtica, pode-se, afirmar que se esta na era da informao. A informao
passou a ser considerada o principal patrimnio de uma organizao e com o grande avano tecnolgico passou a estar em constante risco.
Com isso, a segurana da informao passou a ser um ponto crucial para
a sobrevivncia das instituies. Com o desenvolvimento na rea computacional, a
chegada dos computadores pessoais e o surgimento de redes capazes de conectar
computadores do mundo inteiro, os aspectos de segurana passaram a ser complexos a ponto de haver necessidade de criar equipes e mtodos de segurana cada
vez mais sofisticados.
Diante do exposto, este trabalho vem elucidar de forma clara e objetiva os
aspectos gerais da Segurana em Sistemas Operacionais de Servidores Corporativos, a origem, os mtodos, procedimentos de invases e sua verdadeira importncia
nas empresas.
9
2 SEGURANA
10
- Disponibilidade: o provedor sofre uma grande sobrecarga de dados ou um ataque
de negao de servio e por este motivo fica impossibilitado de enviar a Declarao
de Imposto de Renda Receita Federal.
A segurana na rea de Tecnologia da Informao (TI) se divide em duas reas: a segurana fsica e a segurana lgica (CARTILHA, 2005).
Medidas usadas para garantir a proteo fsica dos recursos contra ameaas voluntrias e involuntrias (ex.: incndio, invases, acidentes, etc.).
A proteo dos dados de uma empresa no est restrita aos computadores, muito mais abrangente que o CPD da empresa (HENRIQUE, 2005).
11
J deve ser uma medida da empresa caso a mesma tenha referida
Comisso, ter Comunicaes Internas sobre o que fazer em caso de
acidentes, ou seja, se um funcionrio se queimar ou cair da escada, se o
prdio pegar fogo ou for inundado, como se deve proceder. A Comisso
interna deve ter normas e/ou procedimentos para este tipo de situao.
O Centro de Processamento de Dados tambm pode ter suas
normas particulares para evitar acidentes que pode ocorrer de uma hora para
outra sem aviso, principalmente com desastres naturais, que no so ameas
de ataques cibernticos, mas podem deixar os sistemas computacionais
inoperantes.
O calor e a umidade so bons exemplos, apesar de no serem
notados ou no se dar a devida importncia a respeito, pois causam
superaquecimento nos equipamentos de informtica se o ambiente no for
seco, limpo e bem arejado.
12
nosso dia a dia. Elas so de grande interesse em reas onde realmente
importante verificar a real identidade de um indivduo (SEGURANA, 2005)
13
procuram extintores que nunca esto prximos quando se precisa.
Treinamento de como se comportar e que extintor pegar para cada incndio
vlido, pois no adianta tentar apagar fogo de laboratrio de informtica com
extintores base de gua.
Sistema de informao baseado em mecanismos que permitem aos gerentes de sistemas controlarem o acesso e o uso dos recursos de informaes informatizadas (HENRIQUE, 2005).
Fazer um levantamento de quem realmente necessita realizar um acesso remoto e habilitar o servio somente na ocasio em que o usurio necessitar;
Estabelecer um final de semana por ms para auditar as mquinas da empresa, verificando estado de antivrus, softwares proibidos pela empresa ou irregulares;
14
Implantar uma unidade de fita ou gravadora de CD/DVD em um dos servidores do Centro de Processamento de Dados, pois alm de facilitar a cpia de
grande quantidade de dados, permite que seja estabelecida uma rotina de
backup;
Criar um plano de backup, incluir o que dever estar no backup e quem dever ser o responsvel por tal operao;
15
Estabelecer como parte do processo de demisso, que os tcnicos do laboratrio recebam do setor pessoal o relatrio dos funcionrios desligados da empresa, para que os mesmos excluam suas contas de rede;
2.3 Vulnerabilidade
2.4 Invaso
16
ataque, onde o objetivo avaliar a segurana de uma rede e identificar seus pontos
vulnerveis.
Mas no existe invaso sem um invasor, que pode ser conhecido, na
maioria das vezes, como Hacker ou Cracker. Ambos usam seus conhecimentos para
se dedicarem a testar os limites de um sistema, ou para estudo e busca de conhecimento ou por curiosidade, ou para encontrar formas de quebrar sua segurana ou
ainda, por simples prazer. Mas tambm pode ser por mrito, para promoo pessoal,
pois suas descobertas e ataques so divulgados na mdia e eles se tornam conhecidos no seu universo, a diferena que o Cracker utilizam as suas descobertas para
prejudicar financeiramente algum, em benefcio prprio, ou seja, so os que utilizam seus conhecimentos para o mal.
2.5 Ataque
17
2.5.2 Classificao de ataques conforme objetivo
Ataque ativo so os que alm do atacante tentar obter informaes que lhe
traga benefcios, buscam afetar o funcionamento do sistema invadido, atravs
de desativao de servios crticos em servidores. So exemplificados pela
pichao de sites, destruio intencional de dados, desperdcio de recursos
do sistema (processamento, memria, documentos de impresso), suspenso
dos servios e at desativao por completo de um alvo, e, potencialmente,
danos fsicos ao equipamento envolvido. (KLER, 2004).
18
Ataque externo - Ataques externos so todas as atividades nocivas ao funcionamento dos recursos computacionais que partam do permetro externo (Internet) direcionado ao permetro interno (Intranet) da entidade atacada. Os ataques externos alm de ter por diferenciao o permetro, tambm so diferenciados por ser todos aqueles gerados por usurio no autorizados ou no
cadastrados no sistema (ilegtimos). No entanto, em uma rede corporativa
possvel conceber-se diversos permetros de segurana e ataques vindos de
outros setores, apesar de estarem partindo da mesma rede fsica, seriam
considerados como ataques externos.
2.5.3.1.1 Insignificante
19
prejuzo o de mo-de-obra utilizada para a soluo do problema. Um exemplo deste a presena de um vrus em um computador.
2.5.3.1.2 Pequeno
So ataques que ocupam uma frao maior de tempo comparado aos ataques insignificantes. Neste h um atraso de resposta no sistema, algumas perdas
de movimentao, porm resolvido com a restaurao do sistema atacado utilizando cpias de segurana. No h repercusso nos negcios nem interferncia
com seus clientes.
2.5.3.1.3 Mdio
So acontecimentos que causariam grandes problemas como perdas totais nos dados, prejuzos financeiros irrecuperveis, perda de imagem e posio no
mercado.
20
2.5.3.1.5 Catastrfico
21
Alguns exemplos de ataques automatizados: vrus, worms, cavalos de
tria e scripts de invaso (exploits), descritos a seguir:
22
"BackDoor". atravs da monitorao destes efeitos que os programas antivrus conseguem encontrar a presena de cavalos de tria em um sistema. A
infeco por um cavalo de tria se baseia em ataques de engenharia social
onde o usurio pode ser exposto a estes riscos atravs de sites aparentemente idneos, softwares e ferramentas condescendentes com pirataria de software e aplicativos de origem duvidosa. Worms podem conter em seu cdigo
um componente de cavalo de tria, permitindo que o atacante tenha a capacidade de infeco de um vrus com a abertura de brechas no sistema caracterstica do cavalo de tria.
23
2.5.3.3 Tcnicas de Ataques
24
possui um dicionrio de palavras para fazer as tentativas at encontrar a
senha correta;
Phreaking:
Phishing(Scamming): um tipo de fraude em que uma pessoa malintencionada cria para obter numeros de cartes de crdito, senhas e contas
de bancos, sob pretextos enganosos. Phishing scam normalmente surge por
e-mails ou janelas pop-up;
25
2.6 Legislao
A legislao competente segurana da informao desenvolveu-se tendo como base os textos modelos e padres normatizadores. Adotaram-se as referncias de normas j institudas por rgos Oficiais, as quais criam o ambiente pertinente a aplicao da legislao, desta maneira h a possibilidade de adequao
mais afinada dos modelos jurdicos realidade do campo virtual. A Internet trouxe
um novo pensamento, um novo comportamento no cenrio mundial. o que segundo alguns juristas denominam de sociedade da informao, na qual existe reflexo
da necessidade da existncia de um marco jurdico que permita a livre circulao de
bens e servios, alm de garantir a liberdade dos cidados (CARTILHA, 2005;
CORRA, 2000).
Longo (2005, p 07) em seu trabalho, descreve que na Unio Europia (UE) vrias batalhas esto sendo travadas para se chegar a um senso comum referente s novas polticas de segurana na rea de tecnologias de informao, onde s
pode ser assegurada por leis que permitam a regulamentao de cada pas, a regulamentao entre empresas privadas e pblicas e inclusive entre pessoas fsicas. A
ttulo de exemplo o Conselho da Europa apresentou a ltima verso de um documento sobre crimes virtuais. Trata-se de um inventrio com sanes penais e um
dispositivo inspirado na legislao francesa. Existe uma diretiva europia sobre o
comrcio eletrnico, a qual reconhece a assinatura digital, alm da proteo de da-
26
dos pessoais estarem ganhando dimenso internacional num esforo para proteger
o indivduo.
Para comprovar que o usurio estava praticando determinado ato foi criada uma certificao digital, com a aplicao da Public Key Infrastructure (PKI), infraestrutura de chave pblica. Teve incio em 1997 com conferncias e iniciativas no
comrcio eletrnico atravs da Organization for Economic Co-operation and Development (OECD - Organizao para Cooperao e Desenvolvimento Econmico e
da General Usage for International Digitally Ensured Commerce (GUIDEC)).
Longo (2005, p 07) ainda descreve, que para a utilizao da chave pblica se deve obedecer aos seguintes padres internacionais: ISO 9796, ANSI X9.31,
ITU-T x509, PACS, SWIFT.
Os pases que ainda esto iniciando com as normalizaes e legalizaes
a respeito de segurana da informao, utilizando chaves pblicas, tendem a exigir
padres especficos de tecnologias j existentes, desta maneira conseguem uma
compatibilidade com os demais pases.
De forma geral o mundo est consciente da real importncia da elaborao de legislaes especficas a tais ambientes e encontram-se trmites de projetos
em diversos pases, havendo de tal forma uma perspectiva altamente positiva para
que num futuro breve tenha-se um sistema legislador especfico e eficiente.
O Brasil atravessa uma fase difcil quanto prtica de crimes eletrnicos.
Em 2004 por algumas vezes consecutivas liderva o ranking dos pases com o maior
nmero de crackers do mundo, porm uma deciso judicial nacional indita
condenou um jovem a seis anos e cinco meses de recluso por estelionato,
cumulado com formao de quadrilha e crime contra sigilo de dados bancrios no
dia 15 de abril de 2004 . O primeiro decreto condenatrio por crime eletrnico no
27
Brasil foi proferido pela juza da 3 Vara da Justia Federal de Campo Grande (MS),
Janete Lima Miguel (BLUM, 2004).
Objetivando tornar efetiva a participao social nas decises de implantao, administrao e uso da Internet o Ministrio das Comunicaes e o Ministrio
da Cincia e Tecnologia, em nota conjunta de maio de 1995, optaram por constituir
um Comit Gestor da Internet, com participao de Operadoras Telefnicas, Representantes de Provedores, representantes de usurio e a comunidade acadmica.
Atualmente tal comit uma realidade, tendo como atribuies: fomentar o desenvolvimento de servios ligados a Internet no Brasil; Recomendar padres e procedimentos tcnicos e operacionais para a Internet no Pas; Coordenar a atribuio de
endereos na Internet; Coletar, organizar e disseminar informaes sobre os servios ligados a internet. Este Comit foi criado pela Portaria Interministerial n 147, de
31 de maio de 1995 e seus integrantes foram nomeados pela Portaria Interministerial
n 183, de 03 de julho de 1995 (CORRA, 2000). O Brasil dispe de um projeto de
lei 1.713 que se refere a crimes de informtica (ANEXO A - Projeto de Lei 1.713).
28
3 FERRAMENTAS DE SEGURANA
3.1 Firewalls
29
ceptao de e-mail. Alm disso, embora os firewalls possam prover um nico ponto
de segurana e auditoria, eles tambm podem se tornar um nico ponto de falha - o
que quer dizer que os firewalls so a ltima linha de defesa. Significa que se um atacante conseguir quebrar a segurana de um firewall, ele vai ter acesso ao sistema, e
pode ter a oportunidade de roubar ou destruir informaes. No caso de funcionrios
mal intencionados, os firewalls no garantem muita proteo. Finalmente, como
mencionado os firewalls de filtros de pacotes so falhos em alguns pontos. As tcnicas de Spoofing podem ser um meio efetivo de anular a sua proteo.
Para uma proteo eficiente contra as ameaas de segurana existentes,
os firewalls devem ser usados em conjunto com diversas outras medidas de segurana.
30
estado da conexo, ou seja, ele garante que o computador destino de uma informao tenha realmente solicitado anteriormente a informao atravs da
conexo atual. Alm de serem mais rigorosos na inspeo dos pacotes, os
stateful firewalls podem ainda manter as portas fechadas at que uma conexo para a porta especfica seja requisitada. Isso permite uma maior proteo
contra a ameaa de port scanning.
Nvel de Aplicao - neste tipo de firewall o controle executado por aplicaes especficas, denominadas proxies, para cada tipo de servio a ser controlado. Essas aplicaes interceptam todo o trfego recebido e o envia para
as aplicaes correspondentes, assim, cada aplicao pode controlar o uso
de um servio. Apesar deste tipo de firewall ter uma perda maior de performance, j que ele analisa toda a comunicao utilizando proxies, ele permite
uma maior auditoria sobre o controle no trfego, j que as aplicaes especficas podem detalhar melhores os eventos associados a um dado servio.
Conforme Monteiro (2003, p. 50), define IDS como uma ferramenta inteligente capaz de detectar tentativas de invaso e tempo real. Estes sistemas podem
atuar de forma a somente alertar as tentativas de invaso, como tambm em forma
reativa, aplicando aes necessrias contra o ataque.
Estas ferramentas monitoram seus servidores e sua rede analisando tudo
o que acontece, que tipo de trfego est circulando e que eventos ocorrem dentro da
rede. Determinados IDSs, utilizam recursos de inteligncia artificial para prever e detectar comportamentos que podem ser ataques e notificar os Administradores de
Redes.
31
Os sistemas mais populares de IDS so Snort, Enterasys Intrusion Detection, Dragon Network Sensor, Dragon Host Sensor, NFR Security, ISS, Tripiware,
AID e outros.
3.2.1 Em funo das tcnicas com que os IDSs reconhecem um ataque cita-se
dois tipos :
Sistemas Adaptveis: Esse tipo emprega tcnicas mais avanadas, incluindo inteligncia artificial, para reconhecer novos ataques e no somente ataques conhecidos atravs de assinaturas. As principais desvantagens dos sistemas adaptveis so o seu custo muito elevado e a dificuldade no seu gerenciamento, que
requer um grande conhecimento matemtico e estatstico.
32
3.2.2 Alm das tcnicas, os IDSs so classificados em dois principais tipos:
NIDS - Sistema de Deteco de Intruso de Redes: Nesse tipo de IDS os ataques so capturados e analisados atravs de pacotes de rede. Ouvindo um
segmento de rede, o NIDS pode monitorar o trfego afetando mltiplas estaes que esto conectadas ao segmento de rede, assim protegendo essas
estaes. Os NIDSs tambm podem consistir em um conjunto de sensores ou
estaes espalhados por vrios pontos da rede. Essas unidades monitoram o
trfego da rede, realizando anlises locais do trfego e reportando os ataques
a um console central. As estaes que rodam esses sensores devem estar
limitadas a executar somente o sistema de IDS, para se manterem mais seguras contra ataques. Muitos desses sensores rodam num modo chamado stealth, de maneira que torne mais difcil para o atacante determinar as suas
presenas e localizaes.
33
Outros geram mensagens em formatos que so compatveis com os sistemas
de gerenciamento de redes.
34
Ao contrrio de um Firewall ou de um IDS, os HoneyPots no resolvem
um problema especfico. Um honeypot uma ferramenta que contribui com a total
arquitetura da segurana de uma corporao, seja ela pblica ou privada. Os valores
dos dados fornecidos por um HoneyPot, so de muita importncia para um administrador de redes e/ou servidores, para que o mesmo avalie e tome medidas de segurana para sua rede ou seu ambiente computacional (LAFET, 2005).
HoneyPot um recurso de segurana preparado especificamente para
ser sondado, atacado ou comprometido e para registrar essas atividades, simulando
Sistemas Operacionais virtuais. O HoneyNet (Rede de Roneypots) uma rede projetada especificamente para ser comprometida e utilizada para observar os invasores. uma rede projetada especificamente para ser comprometida e utilizada para
observar os invasores. Essa rede normalmente composta por sistemas reais e necessita de mecanismos de conteno eficientes e transparentes, para que no seja
usada como origem de ataques e tambm no alertar o invasor do fato de estar em
uma honeynet eficiente e transparente, para que no seja usada como origem de ataques e tambm no alertar o invasor do fato de estar em uma honeynet.
Honeypots de baixa interao (Low-interaction Honeypots): normalmente apenas emulam servios e sistemas operacionais, no permitindo que o atacante interaja com o sistema;
35
3.5 Criptografia
36
sumos algumas caractersticas que a faz se subdividir em dois grandes grupos: criptografia de chave simtrica e criptografia de chave assimtrica.
A criptografia simtrica aquela em que a mesma chave utilizada na codificao deve ser tambm utilizada na decodificao, sendo assim caracterizada como mtodo tradicional. Alguns exemplos de algoritmos que implementam este tipo
de criptografia seriam o IDEA (International Data Encryption Algorithm), o DES (Data
Encryption Standard) da IBM e o RC2/4 da RSA Data Security.
Mesmo apresentando alguns problemas, a criptografia simtrica bastante eficiente em conexes seguras na internet, onde processos computacionais trocam senhas temporrias para algumas transmisses crticas e/ou importantes.
Este mtodo est presente no dia a dia das pessoas, mesmo sem imaginar, pois quando voc navega pela internet e visita sites ditos "seguros", onde geralmente so preenchidos dados sigilosos, voc est utilizando o SSL (Secure Sockets Layer) que funciona a base de criprografia simtrica, muito provavelmente DES
ou algo RSA.
Diferente da criptografia simtrica que utiliza apenas uma chave, na criptografia assimtrica so usadas duas chaves ligadas matematicamente, sendo uma
usada para criptografar a mensagem e a outra para descriptografar.
37
Neste mtodo, uma das duas chaves mantida em segredo e referenciada como chave privada, ou seja, sua privacidade crucial, j que a mesma considerada a identidade do seu proprietrio. Neste caso, tanto o emissor quanto o receptor utilizam a mesma mensagem privada sem que ningum descubra.
J a outra chave, denominada chave pblica, disponvel para todos.
Qualquer pessoa pode enviar uma mensagem confidencial apenas utilizando esta
chave, porm, esta mesma mensagem s poder ser descriptografada com a chave
privada do destinatrio.
Os sistemas assimtricos geralmente no so to eficientes computacionalmente quanto os simtricos. Eles normalmente so utilizados em conjuno com
sistemas simtricos para fornecer facilidades de distribuio da chave e capacidade
de assinatura digital (SANTOS, 2005; CRIPTOGRAFIA, 2005; HISTORIA, 2005).
38
viar as suas mensagens ao servidor de logs ao invs de mant-las localmente. Por
sua vez, o servidor de logs filtra essas mensagens e as armazena de acordo com a
sua classificao, facilitando o trabalho de auditoria.
39
4 ESTUDO DE CASO
Ms
Janeiro
Fevereiro
Maro
Abril
Maio
39
53
37
36
38
6
4
19
2
2
9
13
56
14
19
55
22
32
81
58
2481
3542
2862
1946
2913
283
170
343
188
181
Total
5886
6110
6002
4763
5471
40
Ms
Junho
Julho
Agosto
Setembro
Outubro
Novembro
Dezembro
3752
4636
3221
2997
8821
4599
1513
Fonte: CERT/2004
24
18
26
56
23
10
46
3
2
5
4
51
1
5
6
7
22
13
13
40
36
26
49
71
52
29
39
10
2498
1791
2194
1704
1937
1888
2402
Total
193
270
371
341
379
572
724
6502
6773
5910
5167
11253
7149
4736
7000
Af
6000
Dos
5000
In v aso
4000
Aw
Scan
3000
Fraude
2000
1000
0
jan
fev
m ar
abr
m ai
jun
jul
ago
set
out
n ov
dez
W32/Bagle
suas
duas
variantes
(bb@mm
bd@mm)
W32/Netsky.ag@mm foram descobertos no ms de outubro, por isto a alta de incidentes neste ms.
Ms
Janeiro
Fevereiro
0
1
14
27
22
57
2694
1433
683
462
Total
4448
3142
41
Ms
Maro
Abril
Maio
Junho
1906 1
1432 17
2175 4
1510 0
Fonte: CERT/2005
2
0
2
5
42
20
34
17
24
25
22
55
1805
1437
1489
1356
1068
2322
3157
2463
Total
4848
5253
6883
5406
W orm
Af
2000
Dos
Invaso
Aw
1500
Scan
Fraude
1000
500
0
jan
fev
m ar
abr
m ai
jun
Analisando mais uma vez os dados obtidos nas estatsticas do CERT, verifica-se que as portas mais visadas por atacantes de janeiro a maro e abril a junho
de 2005 respectivamente conforme grficos so:
42
Nas imagens mostradas acima se v uma grande quantidade de scan na
porta 22/tcp acredita-se ser para verificar a verso do servio de ssh, j que conforme o documento do NIC BR Security Office de 16/11/2001, este documento relata
uma falha de segurana nas verses do OpenSSH menores que 2.3.0 e do ssh.com
da verso 1.2.24 1.2.31, onde descreve que se o atacante explorar esta falha com
sucesso, o mesmo obter acesso de Superusurio (VULNERABILIDADE, 2005).
43
Tabela 3 Sistemas Operacionais/Portas Liberadas
Windows XP
Linux 2.4.16
Windows 98
Portas
Portas
Portas
80/tcp
110/tcp
138/tcp
110/tcp
25/tcp
139/tcp
25/tcp
21/tcp
137/tcp
21/tcp
53/tcp
1080/tcp
138/tcp
3127/tcp
139/tcp
3128/tcp
137/tcp
10080/tcp
137/udp
137/tcp
135/tcp
135/tcp
Ordem
1
2
3
4
HONEYPOT
Nmero IP
Connections
201.x.yyy.49 Linux
201.x.yyy.50 No Configurado
201.x.yyy.51 Windows 98
201.x.yyy.53 Windows XP
44
Grfico 4.2.1
Nesta etapa observa-se, pela Tabela 4, que o Sistema Operacional preferido na tentativa de invaso foi o Windows 98, pela quantidade de portas abertas e
por sua fragilidade no quesito segurana, conforme o grfico 4.2.1.
Verifica-se tambm, que no ambiente operacional linux, conforme a Tabela 4, as principais portas com maior tentativa de acessos foram: 135/tcp, 139/tcp,
80/tcp e 1080/tcp respectivamente, conforme o grfico 4.2.2.
Grfico 4.2.2
Tabela 5 Nmero de conexes por portas Abertas
61.126.208.105
62.0.93.84
137/udp
3127/tcp
1
3
45
HONEYPOT: 201.x.yyy.49 Linux
Ordem
Endereo IP
Porta Conexes
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
84.130.58.58
193.138.232.18
193.138.232.60
200.229.157.150
201.1.74.139
201.1.150.79
201.1.160.21
201.1.164.207
201.2.38.183
201.2.141.100
201.2.147.7
201.2.151.83
201.13.115.254
201.153.137.193
201.226.180.48
220.176.205.201
221.194.94.6
21/tcp
1080/tcp
1080/tcp
135/tcp
135/tcp
135/tcp
139/tcp
135/tcp
139/tcp
80/tcp
80/tcp
80/tcp
135/tcp
135/tcp
135/tcp
139/tcp
139/tcp
2
2
3
3
1
3
2
3
3
6
3
2
3
1
3
3
3
J no ambiente operacional Windows 98 conforme a Tabela 4, referenciando o grfico 4.2.3, as principais portas com mais tentativas de acesso foram:
1080/tcp, 135/tcp, 139/tcp e 80/tcp respectivamente.
Grfico 4.2.3
Tabela 6 Numero de conexes por portas abertas
62.0.93.84
193.138.232.18
193.138.232.23
193.138.232.60
200.154.203.69
3127/tcp
1080/tcp
1080/tcp
1080/tcp
139/tcp
1
3
16
3
4
46
HONEYPOT: 201.x.yyy.51 Windows 98
Ordem Endereo IP Porta Conexes
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
200.229.157.150
201.1.74.139
201.1.150.79
201.1.164.207
201.2.36.200
201.2.38.183
201.2.80.7
201.2.151.83
201.2.186.23
201.7.35.188
201.13.185.174
201.30.179.40
201.130.166.237
201.137.113.84
201.137.214.2
205.209.161.59
205.209.184.160
220.176.205.201
135/tcp
135/tcp
135/tcp
135/tcp
139/tcp
139/tcp
80/tcp
80/tcp
80/tcp
135/tcp
135/tcp
80/tcp
135/tcp
135/tcp
135/tcp
1080/tcp
1080/tcp
137/udp
3
1
3
3
2
2
3
2
2
2
1
3
3
2
3
31
30
2
Grfico 4.2.4
Tabela 7 Numero de conexes por portas abertas
62.0.93.84
169.254.207.108
193.138.232.18
193.138.232.60
3127/tcp
139/tcp
1080/tcp
1080/tcp
3
1
4
3
47
HONEYPOT: 201.x.yyy.53 Windows XP
Ordem
Endereo IP
Porta Conexes
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
200.211.217.161
200.229.157.150
201.1.150.79
201.1.160.21
201.2.36.200
201.2.38.183
201.2.38.225
201.2.170.223
201.2.186.23
201.133.233.243
201.137.27.163
201.138.118.222
201.153.15.70
201.254.1.247
219.133.247.80
220.176.205.201
139/tcp
135/tcp
135/tcp
139/tcp
139/tcp
139/tcp
135/tcp
80/tcp
80/tcp
135/tcp
135/tcp
135/tcp
80/tcp
139/tcp
25/tcp
137/udp
1
3
3
3
6
2
3
2
3
3
3
1
1
4
1
2
48
Windows 2000 encontra-se uma falha na segurana do mecanismo de SMB (Serve
Message Block) que permite compartilhar arquivos e tambm podem ser utilizados
por atacantes para obter informaes sensveis dos sistemas Windows conforme
documento (CVE-1999-0366). Esta vulnerabilidade tambm pode ser apresentada
em sistemas operacionais Macintosh e Unix, se habilitarem o compartilhamento de
arquivos. A configurao incorreta do SMB pode expor arquivos crticos do sistema
ou permitir acesso completo do sistema a qualquer usurio hostil conectado Internet.
Alm destas observaes feitas acima verifica-se nos grficos 4.2.2, 4.2.3
e 4.2.4 que a porta 1080/tcp foi bastante visada, principalmente no windows 98, j
que o software de honeypot emula uma infeco com o W32/Bugbear.b@MM e abre
uma porta para conexo 1080/tcp. No linux tem-se algumas tentativas, provavelmente por saber que existe um exploit (ferramenta automatizada que explora uma vulnerabilidade) para o Squid, nas verses inferiores e iguais a 2.2, conforme anunciou a
securiteam.com no dia 27/10/1999. Tal vulnerabilidade na autenticao do Squid
Web Proxy Cache faz o usurio malicioso ter acesso a locais privilegiados.
49
5 CONCLUSO
50
parveis dentro de uma empresa. Nota-se que as empresas na sua grande maioria
no se atentam ao tamanho valor da rea de segurana em sua empresa.
Este trabalho esclarece que o Brasil possui em sua grande maioria atacantes que procuram ferramentas prontas, que exploram a vulnerabilidade de um
determinado software ou Sistema Operacional e a soluo deste mant-los sempre
atualizados.
51
REFERENCIAS
52
GRUPOS criam 150 vrus por semana. Disponvel em: http://www.pocosnet.com.br/Noticia.asp?id=5496 . Acessado em: 11 ago. 2005.
HENRIQUE, Geraldo. Glossrio de Segurana. Portal de Informtica. Disponvel em:
http://www.portaldeinformatica.com.br/seguranca_glossario.htm. Acessado em: 18
jul. 2005.
HISTORIA e aplicaes da criptografia. Disponvel em:
http://www.absoluta.org/cripty/cripty_h.htm. Acessado em: agosto de 2005.
KLER, Evelyn R.; PRADO Gelson. Segurana de Redes Sistema de Deteco de
Intruso. Curitiba, 2004. Disponvel em :
www.laureano.eti.br/ensino/orientacoes/facinter_2004_evelyn_ids.pdf. Acessado em:
21 jul. 2005.
LAFET, Alessandra Valle; ARRUDA Jiuliano Macedo. Implementao de um Honeypot como parte de um projeto de Honeypots distribudos e anlise estatsticas de
ataques a rede da UNB, Jan. 2005. Disponvel em:
www.redes.unb.br/PFG.132004.pdf. Acessado em: 03 ago. 2005.
LONGO, Gustavo D. Segurana da Informao. 2005. 08f. Artigo Cientfico (Bacharelado em Sistemas de Informao). Universidade Estadual Paulista, Bauru.
MEDEIROS, Carlos D. R. Segurana da Informao Implantao de Medidas e
Ferramentas de Segurana da Informao. Disponvel em:
www.linuxsecurity.com.br/info/general/TCE_Seguranca_da_Informacao.pdf. Acessado em: 05 ago. 2005.
MELO, Sandro. Explorao de Vulnerabilidades em Redes TCP/IP. Rio de Janeiro: Alta Books, 2004. 213p.
MISAGHI, Mehran. O Papel da Cricptografia na Segurana da Informao. Universidade Federal de Itajub. SECOMP Seminrio em Computao de Itajub de 2003.
Arquivo Unifei.ppt (1,5Mbytes) 58 slides.
53
MONTEIRO, Emiliano S. Segurana em Ambientes Corporativos. VisualBooks Editora, 2003. 189p.
PAGEZINE MegaStore. Disponvel em :
http://www.pagezine.com.br/modules/wordbook/entry.php?entryID=325. Acessado
em: 21 jul. 2005.
PEREIRA, Critiane. Implantao de Polticas e Procedimentos de Segurana em
Ambientes Internet, Universidade Federal de Braslia, Centro de Tecnologia de Software de Braslia. Disponvel em:
www.sebraepb.com.br:8080/bte/download/Informtica\Segurana das Informaes/92_1_arquivo_segInternet.pdf. Acessado em: 04 ago. 2005.
PUTTINI, Prof. MSc. Ricardo S. Segurana de Redes, Braslia. Disponvel em:
http://www.redes.unb.br/security/introducao/main_introducao.htm. Acessado em: 17
jul. 2005.
ROCHA, Luis F. Um retrato dos incidentes de segurana no primeiro trimestre de
2004, abr. 2004. Disponvel em: http://www.nbso.nic.br/docs/reportagens/2004/200407-12a.html. Acessado em: 20 jul. 2005.
ROCHA, Luis F. Honeynet: Eficcia no Mapeamento das Ameaas Virtuais, jun.
2004. Disponvel em: http://www.honeynet.org.br/press/2003/2003-06-24.html. Acessado em: 03 ago. 2005.
RODRIGUES, Giordani. Vrus blaster explora falha recente do windows. Disponvel
em: http://informatica.terra.com.br/interna/0,,OI131136-EI559,00.html. Acessado em:
02 set. 2005.
SANTOS, Luiz Carlos. Como funciona a criptografia. Disponvel em :
http://www.clubedasredes.eti.br/rede0009.htm. Acessado em: 14 ago. 2005.
SEGURANA Biomtrica. FingerSec do Brasil Ltda. Disponvel em:
http://www.fingersec.com.br/biometria.asp. Acessado em: 18 jul. 2005.
54
SHIREY, R. RFC2828 Interney Security Glossary. GTE / BBN Technologies, mai.
2000. Disponvel em : http://www.faqs.org/rfcs/rfc2828.html. Acessado em: 20 jul.
2005.
VULNERABILIDADE remota no sshd sendo amplamente explorada, NIC BR Security
Office. Disponvel em: http://www.nic.br/grupo/alerta_sshd_nov_01.htm. Acessado
em: 05 set. 2005.
55
GLOSSRIO
56
Broadcast Enviar um pacote (mensagem) para todos os computadores da rede
Criptografia arte ou cincia de escrever em cifras ou em cdigos, de forma que
somente o destinatrio a decifre ou compreenda.
Squid Equipamento ou Software que faz a comunicao entre computadores com
rede interna (intranet) e externa (internet).
57
Art. 3. Para fins desta lei, entende-se por informaes privadas aquela relativa a
pessoa fsica ou jurdica identificada ou identificvel.
Art. 4. Ningum ser obrigado a fornecer informaes sobre sua pessoa ou de terceiros, salvo nos casos previstos em lei.
58
2. Fica assegurado o direito retificao de qualquer informao privada incorreta.
3. Salvo por disposio legal ou determinao judicial em contrrio, nenhuma informao privada ser mantida revelia da pessoa a que se refere ou alm do tempo previsto para a sua validade.
4. Qualquer pessoa, fsica ou jurdica, tem o direito de interpelar o proprietrio de
rede de computadores ou provedor de servio para saber se mantm informaes a
seu respeito, e o respectivo teor.
Art. 7. O acesso de terceiros, no autorizados pelos respectivos interessados, a informaes privadas mantidas em redes de computadores depender de prvia autorizao judicial.
Art. 8. Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou parcialmente, dado ou programa de computador, de forma indevida ou no autorizada.
Pena: deteno, de um a trs anos e multa.
Pargrafo nico. Se o crime cometido:
59
I - contra o interesse da Unio, Estado, Distrito Federal, Municpio, rgo ou entidade da administrao direta ou indireta ou de empresa concessionria de servios
pblicos;
II - com considervel prejuzo para a vtima;
III - com intuito de lucro ou vantagem de qualquer espcie, prpria ou de terceiro;
IV - com abuso de confiana;
V - por motivo ftil;
VI - com o uso indevido de senha ou processo de identificao de terceiro; ou
VII - com a utilizao de qualquer outro meio fraudulento.
Pena: deteno, de dois a quatro anos e multa.
Acesso indevido ou no autorizado
60
III - com intuito de lucro ou vantagem de qualquer espcie, prpria ou de terceiro;
IV - com abuso de confiana;
V - por motivo ftil;
VI - com o uso indevido de senha ou processo de identificao de terceiro; ou
VII - com a utilizao de qualquer outro meio fraudulento.
Pena: deteno, de um a dois anos e multa.
Alterao de senha ou mecanismo de acesso a programa de computador ou dados
Art. 10. Apagar, destruir, alterar, ou de qualquer forma inutilizar, senha ou qualquer
outro mecanismo de acesso a computador, programa de computador ou dados, de
forma indevida ou no autorizada.
Pena: deteno, de um a dois anos e multa.
Obteno indevida ou no autorizada de dado ou instruo de computador
Art. 11. Obter, manter ou fornecer, sem autorizao ou indevidamente, dado ou instruo de computador.
Pena: deteno, de trs meses a um ano e multa.
Pargrafo nico. Se o crime cometido:
I - com acesso a computador ou rede de computadores da Unio, Estado, Distrito
Federal, Municpio, rgo ou entidade da administrao direta ou indireta ou de empresa concessionria de servios pblicos;
II - com considervel prejuzo para a vtima;
III - com intuito de lucro ou vantagem de qualquer espcie, prpria ou de terceiro;
IV - com abuso de confiana;
V - por motivo ftil;
VI - com o uso indevido de senha ou processo de identificao de terceiro; ou
61
VII - com a utilizao de qualquer outro meio fraudulento.
Pena: deteno, de um a dois anos e multa
Violao de segredo armazenado em computador, meio magntico de natureza
magntica, ptica ou similar.
Art. 12. Obter segredos, de indstria ou comrcio, ou informaes pessoais armazenadas em computador, rede de computadores, meio eletrnico de natureza magntica, ptica ou similar, de forma indevida ou no autorizada.
Pena: deteno, de um a trs anos e multa.
I - contra o interesse da Unio, Estado, Distrito Federal. Municpio, rgo ou entidade da administrao direta ou indireta ou de empresa concessionria de servios
pblicos;
II - com considervel prejuzo para a vtima;
62
III - com intuito de lucro ou vantagem de qualquer espcie, prpria ou de terceiro;
IV - com abuso de confiana;
V - por motivo ftil;
VI - com o uso indevido de senha ou processo de identificao de terceiro; ou
VII - com a utilizao de qualquer outro meio fraudulento.
Pena: recluso, de dois a seis anos e multa.
Art. 14. Oferecer servio ou informao de carter pornogrfico, em rede de computadores, sem exibir, previamente, de forma facilmente visvel e destacada, aviso sobre sua natureza, indicando o seu contedo e a inadequao para criana ou adolescentes.
Pena: deteno, de um a trs anos e multa.