Curso: SEGURANA EM REDES DE COMPUTADORES Conteudista: Luis Claudio dos Santos

AULA 01 Introduo e conceitos bsicos essenciais

Esperamos que voc, ao final desta aula, seja capaz de:

1) Explicar princpios bsicos da segurana da informao. 2) Reconhecer os principais ataques e vulnerabilidades em redes. 3) Identificar as principais ameaas baseadas em cdigos maliciosos.

Pr-requisitos Como pr-requisitos para esta aula voc dever ter conhecimentos no mnimo acadmicos sobre redes de computadores (topologias, arquiteturas, funcionamento da internet, protocolos da pilha TCP/IP, equipamentos de interconexo, endereamento IP, servios com e sem conexo, entendimento dos campos dos cabealhos TCP, IP e UDP, conceito de software e firmware etc.).

1. Um panorama de Segurana da Informao Voc j se perguntou como anda a segurana do computador que voc utiliza diariamente? Talvez voc esteja lendo este contedo em um computador. Ele est livre de vrus, worms, spywares e outras pragas virtuais? Na atualidade, a segurana da informao , sem dvida, um dos assuntos mais atraentes dentro da rea de Tecnologia da Informao. Porm, uma rea de difcil limitao, pois h vrios aspectos a serem abordados. Neste curso buscamos tratar principalmente da segurana em redes de computadores; comearemos estudando as principais ameaas e vulnerabilidades conhecidas. Antes, necessrio ressaltar que a diferena que fazemos aqui entre a segurana de redes de computadores e a segurana relacionada ao desenvolvimento de software no reflete, na prtica, uma fronteira perfeita entre as duas reas. Isso porque, na quase totalidade dos casos, as pessoas dependem de sistemas que, por definio, so compostos por hardware, software, pessoas e procedimentos interligados; todos suscetveis a vulnerabilidades que possam ser exploradas. Como se no bastasse, o nvel de complexidade dos sistemas e a interdependncia entre sistemas distintos so cada vez maiores. Bruce Schneier, criador de diversos protocolos de criptografia (alguns que estudaremos nas aulas sobre esse assunto), cita uma frase interessante em um de seus livros: A vida era simples antes da Segunda Guerra. Depois dela, ns passamos a ter os sistemas. Essa sem dvida uma frase cada vez mais verdadeira em todos os aspectos. Mas at onde devemos ir para nos proteger contra as ameaas virtuais? Com o avano da importncia da TI para as organizaes, os dados que trafegam nas redes de computadores tm se tornando cada vez mais importantes. Essa tendncia tem aumentado tambm a importncia que a segurana da informao exerce no contexto das redes de computadores. Nesta aula vamos estudar as principais ameaas e vulnerabilidades existentes nesse cenrio moderno que envolve a segurana da informao.

2. Risco em Segurana da Informao Toda a questo do estudo da segurana de informao diz respeito ao entendimento do conceito de risco (ou, melhor, do grau de criticidade do risco) e da proteo dos ativos. No final, as decises sero baseadas na relao custo-benefcio (como quase tudo na vida). Estudaremos bem melhor a aplicao desses conceitos nas aulas sobre as normas das famlias ISO 27000 e ISO 15999. Por ora, vamos apenas definir alguns conceitos bsicos essenciais.

Ativo Para a norma ISO 27001, ativo qualquer coisa que tenha valor para a

organizao. Vamos adotar essa definio, pois a empresa quem determinar as necessidades com relao aos critrios de segurana da informao. Ameaa Uma ameaa qualquer pessoa, entidade, cdigo malicioso etc. que possa ter motivao para explorar uma vulnerabilidade. A motivao relativa, pois depende da percepo de valor da informao do ponto de vista do atacante. Para a ISO 27002, ameaa a causa potencial de um incidente indesejado que possa resultar em dano para um sistema ou organizao. Vulnerabilidade So erros em sistemas que podem ser devidos a softwares, a hardwares, a processos organizacionais que o utilizam ou mesmo devidos a operadores humanos. Na ISO 27002, encontramos a seguinte definio: vulnerabilidade uma fragilidade de um ativo (ou grupo de ativos) que pode ser explorada por uma ou mais ameaas. Probabilidade do risco Caracteriza-se pela possibilidade de uma ameaa explorar uma vulnerabilidade a fim de comprometer um ou mais princpios da segurana. Impacto o grau de dano que pode ser causado a um ativo quando uma ameaa potencial explora uma vulnerabilidade existente em um sistema. O dano relativo, pois depende da percepo de valor da informao do ponto de vista de seus proprietrios. Criticidade do risco A criticidade diretamente proporcional probabilidade de o risco se confirmar e do impacto caso ele se confirme. Perceba que nem todo risco altamente provvel crtico, pois ele pode ter impacto muito pequeno; por outro lado, nem todo risco de alto impacto crtico, pois ele pode ser muito pouco provvel. Note ainda que a criticidade depende de trs fatores: das ameaas e vulnerabilidades que determinam a probabilidade do risco e do seu impacto.

Figura 1.1: A criticidade do risco ajuda a definir at onde se deve ir para proteger um ativo. Ilustrao, por favor, redesenhar essa imagem. Diagramao, por favor, colocar a imagem do lado direito do pargrafo anterior. Risco O risco definido pela prpria definio de seu grau de criticidade do risco. Um risco alto um risco que tem grau de criticidade alto (probabilidade versus impacto). A prpria norma ISO 27001 define risco como combinao da probabilidade de um evento e de suas consequncias. Incidente A ISO 27001 define incidente como um simples ou uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao. Evento Tambm de acordo com a ISO 27001, trata-se de uma ocorrncia identificada de um estado de sistema, servio ou rede, indicando possvel violao da poltica de segurana da informao, falha de controles ou uma situao previamente desconhecida que possa ser relevante para a segurana da informao.

Note que um evento de segurana da informao tudo o que merea investigao por parte dos responsveis pela segurana da informao. Porm, pela prpria definio da norma, nem todo evento um incidente de segurana da informao (mas todo incidente um evento...). Alm disso, o diagnstico de um incidente de segurana depende grandemente da existncia de uma poltica de segurana da informao na empresa.

3. Princpios da Segurana da Informao Voc viu que as ameaas podem explorar vulnerabilidades para comprometer um ou mais princpios da segurana da informao. Quais seriam esses princpios? Existem trs

princpios bsicos e outros dois princpios relacionados certificao digital que sero citados recorrentemente em todas as nossas aulas.

Figura 1.2: Fluxo normal da informao. Diagramao, por favor, refazer este esquema. Deix-lo, central ao texto. Box de ateno Qualquer soluo que vise a implementar a segurana em uma rede deve garantir a no violao destes princpios. Fim do box de ateno

Os trs princpios essenciais so: a confidencialidade, a integridade e a disponibilidade da informao. Confidencialidade Por este princpio, a informao dever ser acessada apenas pelas pessoas que tm permisso de acesso legtimo. Cuidado, pois a confidencialidade no significa, obviamente, que a informao no pode ser visualizada. Ora, claro que pode! Porm, apenas pelas pessoas autorizadas a faz-lo.

Figura 1.3: A perda da confidencialidade pode acontecer por interceptao. Diagramao, por favor, refazer este esquema e mant-lo ao lado direito do texto. Todo ataque de leitura ou anlise da informao um ataque que visa a corromper a sua confidencialidade. Podemos dar com exemplos os ataques do tipo phishing, sniffing e engenharia social, que normalmente tm como objetivo comprometer a confidencialidade da informao. Estes ataques sero discutidos mais adiante, ainda nesta aula. Integridade Uma informao ntegra aquela que preserva todas as suas caractersticas desde a sua origem legtima at o seu destino legtimo. Ou seja, entre duas partes que se

comunicam no existe nenhuma possibilidade de que a informao seja alterada dentro do canal de comunicao, quer pelo acrscimo, quer pela supresso de dados. O canal de comunicao o meio por onde a informao trafega.

Figura 1.4: A perda da integridade pode acontecer por modificao. Diagramao, por favor, refazer este esquema e mant-lo ao lado direito do texto.

Vale ressaltar que os ataques integridade da informao podem ser baseados na sua modificao ou na sua repetio. Ataques do tipo homem-no-meio normalmente procuram corromper a integridade da informao, s vezes pela repetio, s vezes pela modificao. O ataque do tipo homem-no-meio ser visto em nossas aulas sobre criptografia. Disponibilidade A disponibilidade da informao a caracterstica que determina que a informao tem de permanecer disponvel aos seus usurios legtimos sempre que ela for necessria. interessante observar que a disponibilidade da informao pode ser afetada por vrios motivos (critrios de capacidade, disponibilidade e continuidade dos sistemas etc.).

Figura 1.5: A perda da disponibilidade pode acontecer por interrupo. Diagramao, por favor, refazer este esquema e mant-lo ao lado direito do texto.

No que diz respeito segurana, qualquer ataque que vise interrupo da informao um ataque sua disponibilidade. Esses ataques so conhecidos como ataques de negao de servio (DoS). Um atacante pode tornar a informao indisponvel sem necessariamente ter acesso ilegtimo a ela (confidencialidade) ou modific-la indevidamente (integridade).

Incio da Caixa de Verbete DoS (denial-of-service) - A norma ISO 27002 define DoS como impedimento do acesso autorizado aos recursos ou retardamento de operaes crticas por um certo perodo de tempo. Explicaremos melhor este ataque ainda nesta aula. Fim da Caixa de Verbete

Alm desses trs princpios mais tradicionais, h outros dois princpios que normalmente tambm so citados, principalmente com o advento das solues de certificao digital baseadas de criptografia. Trata-se da autenticidade e do no repdio. Autenticidade O princpio da autenticidade visa a garantir para o receptor de uma mensagem que ela realmente pertence ao emissor legtimo da comunicao. De certa forma, a autenticidade implica integridade, pois, se uma mensagem alterada no canal de comunicao, o autor da nova mensagem o atacante e no mais o emissor legtimo. Entretanto, a bibliografia (e o prprio mercado) trata esses princpios isoladamente porque ambos dependem de tcnicas e ferramentas distintas para a sua garantia. Ataque de fabricao e ataques de repetio so formas de corromper a autenticidade da informao. Voc ver esses ataques em nossas aulas sobre criptografia.

Figura 1.6: A perda da autenticidade pode acontecer por fabricao. Diagramao, por favor, refazer este esquema e mant-lo ao lado direito do texto. No repdio Tambm conhecido como princpio da irretratabilidade. Com relao autenticidade, o princpio da irretratabilidade o que de certa forma podemos chamar de o outro lado da moeda. A informao irretratvel aquela cujo autor no pode negar a sua autoria sem negar a prpria efetividade de todo o sistema de segurana. Em outras palavras: partindo do princpio de que o sistema no foi completamente violado e corrompido, autenticidade implica no repdio e vice-versa. Voc ir estudar bem essas duas ideias nas aulas que tratam de criptografia.

Ok. Ento, podemos dizer que a autenticidade garante ao receptor que o texto de uma mensagem pertence a quem, de fato, est assinando-a. Ao mesmo tempo, a irretratabilidade garante que o emissor, cuja assinatura consta da mensagem, no pode negar que ele prprio a emitiu. Alm dos princpios vistos anteriormente, algumas bibliografias citam o controle de acesso como um novo princpio da segurana da informao. Vamos descrever esse conceito aqui, mas no como um novo princpio. Controle de Acesso Trata-se, na verdade, de uma descrio de meios para garantir que os princpios da segurana da informao sejam atendidos. Os meios estariam baseados em algo que voc sabe, algo que voc possui e em algo que voc . Ou seja: o So exemplos de algo que voc sabe: uma senha, uma frase, uma chave simtrica, uma chave assimtrica etc.; o So exemplos de algo que voc possui: um carto inteligente (smart card), um token (pen drive, cartes de memria etc.), um certificado digital etc.; o Finalmente, algo que voc est ligado s modernas solues de biometria (leitor de impresso digital, leitura da ris, reconhecimento de voz etc.). Ilustrador, favor desenhar um personagem acessando um sistema e tendo que fornecer pen drive, smart card etc.; tendo sua ris e sua palma da mo sendo lida; e tendo que digitar uma senha (com outra mo) etc. fcil perceber que tudo isso, na verdade, visa a garantir os princpios que citamos at o momento e no se trata de mais um princpio da segurana da informao. Desse modo, em nossas aulas vamos nos referir aos princpios da segurana da informao como sendo cinco: confidencialidade, integridade e disponibilidade, alm da autenticidade e do no repdio. De qualquer modo, agora voc j sabe tambm o que vem a ser o controle de acesso!

Incio da Atividade Atividade 01 - Objetivo 01 Uma informao criptografada interceptada em uma rede privada por um atacante que conseguiu se conectar fisicamente aos seus equipamentos. O atacante no consegue ler a informao, mas ele sabe que ali est o usurio e a senha utilizados pelo administrador ao se conectar a um banco de dados. Mais tarde, ele prprio tenta se conectar ao banco enviando o

mesmo pacote capturado com os dados do administrador do banco. Quais princpios da segurana foram violados nessa situao hipottica? Quantidade de Linhas: Deixar 06 linhas. Resposta comentada A situao descrita se trata de um ataque de repetio. Com relao aos princpios, no houve perda de confidencialidade, pois o atacante no conseguiu ler os dados do administrador. Tambm no houve perda de integridade ou de disponibilidade. O problema aqui foi a perda da autenticidade da informao. Estudaremos melhor esse caso nas aulas sobre criptografia. Fim da Atividade

4. O Cenrio Atual Na prtica, o mundo est mudando muito e as novas tecnologias tm impulsionado essas mudanas. A nossa sensao de insegurana aumenta cada vez mais. Devemos antes nos lembrar de que a forma pela qual obtemos acesso s informaes do cotidiano tende a ser muito tendenciosa. A manchete Acidente grave com duas vtimas chama muito mais a ateno (e por isso tende a ser repetida milhares de vezes) do que a manchete A maioria das pessoas teve hoje um dia completamente normal. Aonde estamos querendo chegar? Ora, qual das duas notcias voc se lembra de ter lido ou ouvido em algum lugar: Gnio de 14 anos de idade invade sistema super protegido da empresa X ou Administrador da empresa X no instala atualizaes bsicas, deixando sistema completamente vulnervel? Boa parte da genialidade atribuda aos ataques feitos no mundo digital se deve muito mais ao fato de que h um monte de administradores que no fazem o mnimo pela segurana de suas redes e de seus sistemas. No vamos aqui discutir as razes que levam a tal comportamento, pois elas variam muito de organizao para organizao e dependem de uma srie de motivos (algumas podem at mesmo ser consideradas legtimas dependendo do contexto , tais como excesso de trabalho, falta de investimentos etc.). Nosso foco estudar as vrias formas de manter afastada a maioria das ameaas utilizando as tcnicas e ferramentas disponveis, rpidas e simples de serem aplicadas. Por outro lado, existem, sim, grandes ameaas, como pessoas com extrema capacidade intelectual e motivao suficiente para dedicar seu tempo e suas habilidades invaso de uma rede (mas so excees regra). Para esse tipo de ameaa tambm h tcnicas e ferramentas disponveis, embora elas no sejam, neste caso, necessariamente rpidas e simples.

Ok. Voc pode estar pensando que, embora no existam tantos gnios com tempo e motivao para atacar a sua empresa, a sua rede vive sendo alvo de ataques e alguns deles do, sim, um certo trabalho. Nesse ponto imprescindvel que voc entenda o cenrio atual, dentro do qual estudaremos a segurana de redes. Esse cenrio fica bem claro quando estudamos apenas quatro caractersticas inerentes s redes de computadores. Vamos a elas. Automao Um ataque que seria iniciado a partir de uma nica mquina hoje pode acontecer de forma distribuda utilizando dezenas, centenas ou mesmo milhares de mquinas para fazer em alguns minutos o que uma nica mquina poderia levar anos. A automao tornou o DES obsoleto um pouco antes do previsto. A partir de 1996, esse padro comeou a ser quebrado atravs de fora bruta em tempo cada vez menor e com cada vez menos investimentos, por meio de esforos conjuntos envolvendo milhares de mquinas espalhadas pela internet.

Figura 1.7: O grau de automao multiplica o poder do atacante. Diagramao, por favor, deixar essa imagem ao lado esquerdo do pargrafo anterior. Ilustrao, por favor, refazer essa imagem de forma que as setas tenham o sentido do computador para a torre.

Incio da Caixa de Verbete DES (Data Encryption Standard) - foi o primeiro padro de criptografia simtrica utilizado largamente e adotado pelo governo norte-americano como padro de seus sistemas criptogrficos. Foi inventado por um pesquisador da IBM, Horst Feistel, em 1976. O DES utiliza chaves de 56 bits e cifra blocos de texto em claro com 64 bits de tamanho. O processo de cifragem envolve 16 etapas (rounds), em que os bits so substitudos, permutados ou combinados com subchaves de 48 bits. Fim da Caixa de Verbete

Incio da caixa de curiosidade Os DES Challenges foram uma srie de ataques combinados de fora bruta promovidos pela empresa RSA Security com o propsito de ressaltar a insegurana crescente do DES. Consistia basicamente em oferecer um texto simples cifrado com o DES. O primeiro desafio comeou em janeiro de 1997 e foi solucionado em 96 dias. O segundo desafio (DES Challenge II-1) aconteceu no incio de 1998 e foi solucionado em 41 dias. A frase era: The secret message is: Many hands make light work. O terceiro desafio (DES Challenge II-2) foi solucionado em apenas 56 horas, em julho de 1998, pela empresa Electronic Frontier Foundation (EFF) com uma mquina desenvolvida especialmente para esse fim (o Deep Crack). A propsito, o prmio pago pelo desafio era de US$ 10.000; o Deep Crack havia custado US$ 250.000 para a EFF. O texto revelado foi: It's time for those 128-, 192-, and 256-bit keys. O quarto desafio (DES Challenge III) foi resolvido em apenas 22 horas, em janeiro de 1999. O texto era: See you in Rome (second AES Conference, March 22-23, 1999). Essa frase j fazia referncia conferncia que iria tratar de um substituto para o DES. Fim da caixa de curiosidade

Ao a distncia Um produto do avano da internet o fato de que ela no conhece limitaes ou

barreiras fsicas. Distncias intercontinentais so vencidas quase velocidade da luz (literalmente). Dependendo dos meios de que dispe um atacante, isso lhe torna perfeitamente possvel explorar vulnerabilidades de redes que estejam em outros pases (ou continentes) como se elas fizessem parte da sua rede local. Por outro lado, o poder pblico responsvel por reprimir e punir tais prticas no mundo real no encontra tantas facilidades. Claro, perfeitamente possvel identificar a origem e at mesmo a identidade do malfeitor em muitos casos. Mas o que fazer quando o indivduo mora do outro lado do mundo?

Anonimato Voc j ouviu aquele ditado que diz que a ocasio faz o ladro? No mundo

digital, muitos desavisados possuem a impresso de anonimato, e isso acaba os atraindo para a marginalidade e a prtica de crimes pela internet. Basta verificar quanta gente no estaria disposta a entrar em uma locadora e sair com um filme em DVD debaixo do brao, mas, por outro lado, quantos j praticaram o mesmo ato

baixando o vdeo pela internet. O crime o mesmo, embora a tipificao (agravantes e atenuantes) seja especfica. Diga-se de passagem, para todos os crimes de internet, que no s existe a possibilidade de identificao da origem como a jurisprudncia tem aplicado as mesmas punies j adotadas nos casos tradicionais.

Figura 1.8: A sensao de anonimato aumenta a motivao do atacante. Diagramao, por favor, redesenhar a imagem seguindo o projeto grfico do curso. Deixar ao lado direito do texto anterior. Colaborao Com o advento das redes de computadores e, principalmente, da intercomunicao dessas redes pela internet, ficou muito mais fcil compartilhar informaes. Esse um dos maiores problemas para os administradores atualmente. Hoje, uma pessoa pode descobrir vulnerabilidade em um sistema operacional; horas (ou minutos) depois, outra pessoa pode j ter desenvolvido um programa que automatiza a explorao dessa vulnerabilidade (exploit). E, quase instantaneamente, centenas de outras pessoas comearo a utilizar e compartilhar o novo exploit para atacar servidores em todo o mundo. A propagao muito rpida e um desafio velocidade dos administradores para adotar contramedidas. Um ataque pode ser descrito em duas etapas de aes do atacante: o Tentar obter informaes sobre vulnerabilidades na rede a ser atacada; o Tentar explorar as vulnerabilidades encontradas. Vamos partir desta ideia bsica para dividir nosso estudo sobre as vulnerabilidades em duas partes, nas prximas duas sees.

5. Tcnicas de coleta de informaes Nesta seo vamos listar e explicar resumidamente as principais formas de coleta de informaes; na prxima seo trataremos dos programas que normalmente so usados para explorar as vulnerabilidades encontradas (chamados na literatura de cdigos maliciosos). Como j dissemos, esse tema complexo e nem sempre possvel realizar uma classificao

simples e definitiva. Assim, claro que existem cdigos maliciosos que permitem, alm de explorar vulnerabilidades, coletar informaes sobre uma rede ou sistema invadido. Por outro lado, h tcnicas usadas para coletar informaes que j pressupem um grau de comprometimento mnimo da rede e dos sistemas. Voc pode perceber tudo isso durante as explicaes. Portanto, fique atento! Engenharia social Esse mtodo o que envolve menos conhecimento tcnico sobre rede e sistemas. E, por incrvel que possa parecer, o que tem maior potencial para transpor qualquer sistema de segurana, por mais recursos que tenham sido gastos nele. Este ataque faz uso da persuaso, explorando a ingenuidade ou a confiana do usurio para obter informaes que podem ser utilizadas posteriormente para violar a segurana de redes ou sistemas. Kevin Mitnick dizia que as pessoas tendem a dar todas as respostas se voc fizer as perguntas corretamente. Assim, de que vale todo o investimento em firewalls, criptografia etc., se as senhas dos usurios so compartilhadas abertamente entre si?

Incio da Caixa de Curiosidade Kevin David Mitnick nasceu em 1973 na Califrnia, EUA. Desde a sua adolescncia j praticava delitos e durante tosa a sua vida invadiu sistemas de operadoras de celular e de empresas de tecnologia. Foi preso algumas vezes. Na ltima vez, em 1995, j mundialmente conhecido, ficou preso por cinco anos, sendo libertado sob condicional aps pagar fiana milionria. Hoje Kevin se diz regenerado e trabalha na sua prpria empresa, a Mitnick Security Consulting (www.mitnicksecurity.com/), alm de atuar como palestrante e conferencista em todo o mundo. Sua vida foi registrada em documentrios, filmes e em dois dos livros mais vendidos no mundo sobre engenharia social: The Art of Intrusion e The Art of Deception. Fim da Caixa de Curiosidade

Phishing Neste tipo de fraude o atacante envia mensagem no solicitada para a vtima,

tentando fazer com que a comunicao se passe por uma informao legtima de uma instituio financeira conhecida, um rgo do governo, uma empresa multinacional, um site popular etc. Normalmente a mensagem possui links que levam a pginas falsificadas muito parecidas com a pgina original da instituio mencionada. importante, para efeito de classificao dos ataques, ressaltar que esse tipo de ataque

sempre solicita algum tipo de ao da vtima no sentido de que ela insira informaes sensveis em um formulrio ou que as retorne por e-mail.

Figura 1.9: Phishing uma tcnica que apela para a engenharia social.

Ilustrao, por favor, refazer a imagem com os traos do projeto grfico do curso. Manter ao lado direito do texto.

Packet sniffing Sniffer de pacotes (tambm chamados de analisadores de protocolos) so

ferramentas que permitem capturar quadros que circulam nas redes e analis-los em busca de informaes. possvel capturar dados que trafegam em claro (at mesmo usurios e senhas), obter informaes sobre uma sesso atravs da anlise de cabealhos e deduzir outras caractersticas a partir do tipo de trfego (horrios de pico, tipos de pacotes, quantidade de endereos e de conexes etc.). A mquina onde o sniffer est sendo executado precisa estar conectada em um equipamento de interconexo que opere em modo promscuo. No caso de switches, o administrador precisar configurar uma de suas portas para espelhar todos os quadros que passarem pelas outras portas do switch. No caso de um atacante, h ataques documentados chamados MAC flooding que visam a limitar a capacidade de um switch de manter ntegra e operacional a sua tabela de comutao. Isso faz com que o equipamento opere como se fosse um hub, ou seja, envie todos os quadros que entram por uma porta para todas as outras portas.

Incio da Caixa de multimdia O TCPDump (www.tcpdump.org), o Ethereal (www.ethereal.com/) e o Wireshak (www.wireshark.org/) so trs dos mais conhecidos exemplos de analisadores de protocolo. Essas ferramentas so utilizadas no s por potenciais atacantes, mas tambm pelos administradores de sistemas que desejam obter informaes sobre a rede. Embora a operao

de um sniffers ideal seja passiva e silenciosa, na prtica todos eles acabam enviando para a rede alguns pacotes em situaes bem especficas, e essas caractersticas peculiares permitem a sua identificao atravs de tcnicas conhecidas como anti-sniffing. A maioria dos bons IDSs (Intrusion Detection Systems) implementa tcnicas de deteco de sniffers em funcionamento em uma rede. Estudaremos os IDSs na Aula 4. Fim da Caixa de multimdia

Port Scanning Esta tcnica, tambm chamada de varredura de portas ou mesmo scanning de

portas, utilizada por atacantes que queiram identificar servios que estejam liberados na rede ou no sistema. Existem vrias ferramentas disponveis na internet para essa finalidade, desde as mais simples e gratuitas at as mais avanadas e proprietrias. No h como impedir a identificao de uma porta aberta, pois o scanning de portas emite ao servio solicitaes de conexo que so semelhantes s solicitaes enviadas por clientes legtimos. Ferramentas simples fazem varredura sequencial de portas em intervalos iguais e mantendo o mesmo endereo IP de origem, o que permite fcil deteco do ataque. Todavia, ataques mais bem elaborados utilizam mais de um IP de origem (mquinas comprometidas pelo atacante), fazem varredura de portas aleatoriamente e em intervalos diferentes, o que dificulta bastante a sua deteco.

Scanning de vulnerabilidades Um bom scanner de vulnerabilidades consegue identificar caractersticas de muitas

ferramentas de mercado atravs de suas respostas. possvel, com o uso dessas ferramentas, identificar vrias informaes sobre os sistemas alvo, tais como: o Tipo e verso do sistema operacional; o Fabricante da interface de rede; o Endereos de enlace (MAC) e de rede (IP); o Portas de servio abertas (pois todos tm funo de scanning de portas embutida); o Verses dos softwares aplicativos que esto vinculados s portas de servio abertas (exemplo: porta 80, servidor apache verso x.y); o Vulnerabilidades existentes nos sistemas operacionais e nos softwares de aplicao em execuo; o Detectar senhas padro de fabricantes em uso nos equipamentos.

Alguns exemplos de scanners de vulnerabilidades so o Nessus (originalmente para sistemas Unix), o Acunetix, o GFI Languard etc.

Incio da Caixa de Curiosidade H diversos scanners de vulnerabilidades disponveis. Alguns muito bons, que podem inclusive ser um grande apoio para que o prprio administrador detecte vulnerabilidades em sua rede. necessrio utilizar essas ferramentas sempre com bastante cuidado, principalmente em ambientes de produo onde so executados aplicativos de misso crtica. Alguns desses scanners literalmente simulam ataques aos sistemas (interrompendo-o no momento adequado), o que pode, no mnimo, sobrecarregar um servidor de produo ou aumentar o uso de largura de banda de sua rede. Fim da Caixa de Curiosidade

Incio da Atividade Atividade 02 - Objetivo 02 Para todas as tcnicas de coleta de dados, existe uma tcnica ou ferramenta que o administrador pode utilizar como defesa. Com relao engenharia social, que tcnicas podem ser utilizadas? Quantidade de Linhas: Deixar 06 linhas Resposta comentada Neste caso, o fator humano o principal ponto a ser observado. Assim, essencial a adoo de processos bem definidos para tratar a informao, a realizao de treinamentos constantes dos usurios e a capacitao do pessoal de TI no nvel adequado para proteger os ativos da organizao. Enfim, tudo isso se resume ao fato de a empresa ter ou no ter uma filosofia voltada para a Governana em TI. Fim da Atividade

6. Cdigos maliciosos Cdigos maliciosos so tambm conhecidos com malwares (da expresso em ingls malicious software). Vamos estudar esses cdigos nesta seo. Lembre-se de que, em muitos casos, so esses cdigos que iniciam a sequncia de eventos que permitir o comprometimento de uma rede ou sistema. Muitos dos ataques vistos na seo anterior

dependem de certo grau de comprometimento da rede (como no caso do packet sniffing) ou de boa dose de ajuda dos usurios legtimos da rede (como no caso do phishing). Vrus Um vrus de computador um programa ou parte de um programa que infecta uma mquina (software ou firmware que controla o hardware onde ele est inserido) pela execuo de um software legtimo infectado. Portanto, faz parte da definio de vrus o fato de que ele depende de outro software para infectar uma mquina e se propagar. Um vrus pode criar cpias de si mesmo e infectar outros arquivos do sistema comprometido. Atualmente, h vrus que infectam desktops, laptops, celulares, PDAs e outros dispositivos do mundo moderno.

Figura 1.10: Um vrus se propaga por diversos meios alm das redes.

Ilustrao, por favor, refazer com design do CECIERJ. Diagramao, por favor, manter a imagem ao lado direito do texto. o Ciclo de vida A literatura divide o ciclo de vida de um vrus em quatro fases: latncia, disparo, propagao e ao maliciosa. o Tcnicas de deteco A maior parte dos antivrus dependem das assinaturas, que so nada mais que sequncias de cdigos caractersticas dos vrus. Essa tcnica, porm, reativa, ou seja, s possvel depois que o vrus passou a ser conhecido dos fabricantes por ter infectado algumas mquinas. Alguns fabricantes de antivrus implementam aes proativas, como a deteco baseada em tamanho de software. Um vrus de computador , na verdade, formado por linhas de cdigo

acrescentadas ao programa original. Isso permitiria detectar a possvel infeco atravs da variao de tamanho que a infeco causa. Porm, h comportamentos tpicos dos vrus que dificultam o trabalho do antivrus. Alguns vrus so polimrficos (termo explicado logo a seguir); outros compactam ou criptografam a parte maliciosa do seu cdigo etc. o Mutao H vrus de computador que so polimrficos, isto , conseguem mudar a sua assinatura durante a cpia de si mesmo. Tambm existem vrus que so metamrficos, ou seja, alm de mudar a sua assinatura, mudam tambm a forma de agir maliciosamente no sistema. Vrus metamrficos so de difcil deteco. o Propagao A rigor, um vrus no capaz de se propagar sozinho. Voc pode estar pensando: Ah, mas eu ouvi falar que o vrus tal faz isso. Provavelmente se tratava de um worm. Um vrus, quando se propaga, depende de alguma ao executada no sistema infectado (s vezes pelo prprio usurio). A caracterstica de se propagar sozinho, atravs de e-compartilhamentos de pastas etc., sem depender de outro software ou de aes de usurios incautos, inerente aos worms. o Vrus de macro Espcie de vrus que se baseia no fato de que certas aplicaes permitem a execuo de um conjunto pequeno de instrues (scripts) ao carregar arquivos. Antes dos vrus de macro, a construo de vrus se baseava em infectar programas. Como arquivos possuem mobilidade muito maior que os programas, infectar arquivos se mostrou um bom negcio para os vrus. Na prtica, a maioria dos vrus que causam problemas hoje em dia composta por vrus de macro. Esse tipo de vrus possui o inconveniente de poder ser construdo de forma independente de plataforma computacional ou sistema operacional: o vrus ser executado onde quer que o arquivo infectado possa ser carregado (PCs, palmtops, celulares etc.). Worms um programa que se propaga automaticamente atravs das redes (usando a lista de e-mails, compartilhamentos de pastas, portas de servio etc.) e que no

precisa ser executado explicitamente pelo usurio ou indiretamente a partir de um programa legtimo. Ou seja, por definio, um worm no depende de outro software para infectar uma mquina e se propagar. Worms so responsveis pelo consumo de muitos recursos da rede e dos sistemas.

Figura 1.11: A infestao por worms sempre muito rpida. Ilustrao, por favor, refazer com design do CECIERJ. Diagramao, manter ao lado direto do texto. Como permanecem em execuo praticamente o tempo todo sem qualquer ao voluntria do usurio, possvel notar indcios de infeco por worms atravs do uso intenso placa de rede, dos acessos ao HD etc. sem que nenhum software legtimo esteja em execuo. Obviamente isso no descarta a necessidade do uso de boas ferramentas para identificar worms e, principalmente, elimin-los.

Incio da Caixa de Curiosidade Atribui-se a um estudante da USC (University of Southern California) o mrito pela criao do primeiro vrus, em 1983. Quanto ao primeiro vrus de macro, muitas bibliografias citam o Concept (1995); na verdade, ele era apenas uma variante de outro vrus que infectava o editor de texto Emacs desde 1992 (caso voc use Linux e, por isso, pense que est a salvo...). O primeiro worm foi criado por um cidado chamado Robert T. Morris em 1988. Esse worm infectou mais de 6.000 mquinas na internet (10% do total, naquela poca) em poucos minutos. O estrago no foi maior porque o worm tinha um bug: ele corrompia (sem querer...) o sistema operacional das mquinas infectadas (o que no era seu objetivo inicial), causando travamento dos aplicativos. As ltimas infeces mundialmente catastrficas se deram nos anos de 1999 e 2000, com uma onda de pragas de primeira linha: Melissa (vrus de macro, 1999), Worm.Explore.Zip (worm, 1999), ILOVEYOU (worm, 2000), Code Red (worm, 2001) e Nimda (worm, 2001). Fim da Caixa de Curiosidade

Incio da Caixa de Multimdia

Voc desconfia de algum arquivo que baixou da internet? O site http://www.virustotal.com/ permite que voc faa upload de arquivos de seu computador para que sejam analisados com relao infeco por vrus, trojans etc. O sistema do site faz uma varredura utilizando mais de 40 antivrus de ponta empregados ao redor do mundo (provavelmente o antivrus que voc usa est l). Faa o teste; voc poder se surpreender com a quantidade de discrepncias existentes entre o que o seu antivrus diz e o que de fato pode estar acontecendo no seu sistema. Fim da Caixa de Multimdia

Spyware Spywares so softwares que permanecem residentes em uma mquina

infectada com o objetivo de coletar informaes digitadas em formulrios da internet, sites acessados, horrios de uso do computador etc. Ou seja, so tambm tcnicas de coleta de informaes (como as vistas na seo anterior), mas dependem de infeco prvia do sistema atravs de algum cdigo malicioso. O prprio spyware um cdigo malicioso que pode vir em um trojan.

Figura 1.12: Spywares esto sempre espreita sem voc perceber.

Ilustrao, por favor, refazer com design do CECIERJ. Diagramao, manter ao lado direto do texto. No confunda spyware com adware. Adware so apenas propagandas indesejadas apresentadas durante o uso da internet (pop-ups, pginas abertas automaticamente etc.). Loggers Basicamente dois tipos de loggers nos interessam: os keyloggers e os screenloggers. Keyloggers so softwares que capturam as teclas digitadas no computador. Na medida em que o uso de keyloggers cresceu, a adoo de teclados virtuais em sites seguros aumentou. A consequncia disso foi o surgimento dos

screenloggers, programas capazes de capturar pequenas imagens da rea da tela prxima regio onde o mouse foi clicado. Cavalos-de-troia Estes malwares tambm so conhecidos como trojans horses. De forma semelhante histria original, esses programas se apresentam inicialmente como algo bom ou de interesse do usurio (carto de aniversrio, notcia sobre um artista, depsito em conta etc.), mas que escondem cdigos maliciosos. Uma caracterstica interessante que o cavalo-de-troia visto pela maior parte da literatura no como um novo malware, mas apenas como uma forma de propagar vrus, worms, spywares, keyloggers, backdoors etc. Porm, pela prpria definio do mtodo, o trojan no far nada (qualquer que seja o malware que o acompanha) sem a ajuda e interesse do usurio desavisado. Exploits So programas (ou kits de programas) que facilitam a explorao de vulnerabilidades conhecidas de sistemas operacionais ou softwares aplicativos sem a necessidade de grandes conhecimentos sobre redes de computadores ou sistemas.

7. Outros ataques H sem dvida uma srie de outros ataques que poderiam ser vistos nesta aula. Como dissemos, o tema amplo e, mesmo tendo como foco a segurana em redes de computadores, ainda haveria outros itens a serem citados. Vamos discutir melhor outros assuntos no frum. Porm, importante explicar aqui mais um tipo de ataque muito comum em redes de computadores: o ataque de negao de servio e seus desdobramentos. IP spoofing Um ataque de spoofing baseado em uma situao na qual uma entidade consegue se passar com sucesso por outra. Essa entidade pode ser uma pessoa, mquina, sistema etc. No caso do IP spoofing, o atacante consegue forjar o seu endereo IP de origem enviando pacotes com IP de origem diferente do seu prprio endereo IP, fazendo-se passar por outra mquina. O IP spoofing usado principalmente em ataques de DoS, quando o atacante precisa que vrias respostas sejam enviadas no para ele, mas para a mquina alvo do ataque. Vale ressaltar, por outro lado, que o uso efetivo dessa tcnica para ataques do tipo homem-no-meio (man-in-the-middle) no to simples, pois h vrios outros

parmetros que definem uma conexo e que precisariam ser tambm forjados pelo atacante (campos de sequncia do cabealho TCP, por exemplo). Alguns exemplos de ferramentas de spoofing utilizadas so o Spoofit, Mendax, IPSpoof, entre outros. DNS spoofing Neste ataque o servidor de DNS utilizado pela mquina alvo do ataque invadido e tem suas informaes alteradas para fazer mapeamentos incorretos entre endereos e nomes. Deste modo, toda vez que uma aplicao do usurio utiliza um determinado nome que tenha sido alterado, ela estar se comunicando com uma entidade falsa. Por exemplo, se o endereo IP de uma pgina foi alterado no DNS, o browser redirecionar o usurio para a pgina falsa sem informar que endereo est sendo usado (afinal, para isso que servem DNS, browsers etc.). O servidor onde a pgina falsa est hospedada estar preparado pelo atacante para roubar informaes do usurio sem que ele perceba.

Incio da Caixa de Curiosidade Um ataque relativamente simples conhecido como ICMP smurf utiliza a tcnica IP spoofing. Ele consiste em enviar mensagens ICMP request (pings) para endereos de broadcast de uma rede tendo como endereo de origem o IP da mquina vtima. Computadores da internet, ao receberem mensagens ICMP request, respondem automaticamente com uma mensagem ICMP reply. Como o IP de origem das mensagens o da vtima, as centenas (ou milhares) de respostas seguem para ela, o que pode interromper a sua capacidade de realizar outras tarefas legtimas por ter que receber e processar mensagens ICPM reply no legtimas. Fim da Caixa de Curiosidade

ARP spoofing O ARP spoofing uma tcnica de spoofing em que um atacante tenta se passar

por um destinatrio legtimo da comunicao respondendo a consultas ARP enviadas pela origem do trfego. A resposta do atacante enviada dentro do domnio de broadcast antes que o destinatrio legtimo tenha chance de faz-lo. Com isso, tanto a mquina de origem quanto o swicth aprendem um mapeamento falso entre o endereo MAC (do atacante) e o endereo IP (do destino legtimo). A partir disso, todos os quadros so encapsulados pela origem com o endereo MAC do atacante e so comutados pelo switch para a porta onde o atacante est com base nesse MAC.

O switch no pode bloquear tal ataque, pois a consulta inicial da vtima (em busca do MAC do destinatrio legtimo) enviada via broadcast. Porm, um administrador (usando, por exemplo, um IDS) pode detectar um comportamento estranho na rede ao detectar duas mquinas respondendo mesma consulta ARP. Esta , inclusive, a tcnica de deteco utilizada quando sistemas operacionais detectam duas mquinas utilizando o mesmo endereo IP dentro da rede.

Incio do verbete ARP (Address Resolution Protocol) - um protocolo da pilha TCP/IP (pr-requisito para este curso) utilizado para mapear endereos conhecidos da camada de rede (normalmente o IP) em endereos conhecidos da camada de enlace (normalmente um MAC). Fim do verbete

DoS No ataque DoS (denial-of-service) o atacante no necessariamente ter acesso

informao (confidencialidade) ou conseguir modific-la (integridade). O foco apenas interromper a disponibilidade de um servio, sistema ou de uma rede inteira. H vrias formas de ataque de DoS. Muitas delas so conhecidas como flooding (inundao). Os alvos tpicos deste tipo de ataque so servidores compartilhados por vrios usurios, como servidores de DNS, servidores web etc. DDoS O DDoS (distributed denial-of-service) uma espcie de ataque de negao em que o atacante potencializa os efeitos do ataque com o uso de vrias outras mquinas, normalmente de usurios da internet cujas mquinas foram previamente comprometidas. Essa tcnica torna o ataque mais efetivo pela multiplicao do poder computacional envolvido e, ao mesmo tempo, dificulta a execuo de contramedidas pelo administrador do sistema atacado. Flooding A traduo mais apropriada de flooding seria inundao. Por exemplo, no SYN flooding o atacante envia vrios segmentos TCP para a mquina de destino com o bit de sincronizao (SYN) do cabealho TCP setado; isso caracteriza uma solicitao de conexo (ressalte-se que o atacante precisa descobrir, antes, as portas de servio que esto aceitando conexo, o que pode ser feito com um scanner). Servidores respondem a essas requisies com segmentos TCP com bits de sincronizao (SYN) e de confirmao (ACK) setados e reservam recursos para aguardar o fechamento da

conexo (memria, principalmente). A partir disso, a estratgia do atacante enviar diversos segmentos solicitando abertura de conexo... Mas no os fechando nunca. Dependendo da quantidade de conexes, isso acabar impossibilitando o atendimento de clientes legtimos.

Figura 1.13: SYN flooding uma inundao de segmentos TCP com bit SYNs igual a 1.

Ilustrao, por favor, refazer esta imagem. Diagramao, por favor, deixar essa imagem ao lado direito do texto.

H outros exemplos de ataques do tipo flooding: o ping flooding, o ARP flooding etc. Os detalhes de cada ataque variam, mas o objetivo final o mesmo: causar a indisponibilidade de um servio pelo excesso de requisies.

Incio da Atividade Atividade 3 - Objetivos 2 e 3 Como um firewall poderia detectar e interromper um ataque do tipo SYN flooding conforme explicado nesta seo? Por que o ataque de negao distribudo muito mais difcil de ser barrado? Quantidade de Linhas: Deixar 8 linhas. Resposta e comentrio Praticamente todo firewall moderno (com funes bsicas de deteco de intruso) bloqueia pedidos de abertura de conexo para o mesmo servio quando eles so feitos pelo mesmo cliente em um curto intervalo de tempo. Claro que em raros casos isso pode acontecer em clientes compartilhados, mas o ataque se baseia no envio de centenas de requisies por minuto, e isso de fato s acontece em casos de ataque ou algum tipo de mau funcionamento nos sistemas. Porm, essa ttica s serve para ataques DoS em que o IP de origem permanece o mesmo. No caso dos ataques DDoS, como so utilizadas vrias mquinas de origem, o equipamento de defesa de permetro precisar se basear em outra tcnica de deteco de intruso.

Fim da Atividade

8. Concluso Nesta aula, alm de termos estabelecido algumas definies bsicas, pudemos tambm discutir uma srie de ameaas s redes de computadores. fato que muito do que ns vimos est relacionado a cdigos que podem ser gerados e utilizados com as mais diversas finalidades. De todas elas, as que nos interessam so aquelas que possam servir como primeira etapa do comprometimento das barreiras de permetro de uma rede. Ou seja, de nada adianta um bom firewall se o sistema operacional em que ele foi instalado e configurado possui vulnerabilidades. E, como vimos, h vrios caminhos possveis para comprometer um sistema utilizando tais cdigos. Alm disso, como citamos logo no incio desta aula, quase nunca um bom atacante (se que podemos usar tal expresso...) ir utilizar apenas um tipo de tcnica ou ferramenta para obter informaes sobre vulnerabilidades. Na prtica, sempre haver inimigos que voc precisar temer mesmo aps ter implementado as principais barreiras de segurana; esses inimigos so justamente aqueles que conhecem muito bem no s o funcionamento dos principais protocolos de redes de computadores, mas tambm as melhores tcnicas de programao e desenvolvimento de sistemas.

Incio da Atividade On Line Objetivos 01 a 03 Acesse o frum desta semana e tire suas dvidas sobre o contedo desta aula. L vamos discutir com mais abrangncia e nfase na prtica as ameaas e vulnerabilidades explicadas aqui, alm de tratar de outros pontos importantes relacionados ao tema. Por exemplo, os conceitos de rootkits, backdoors, HOAX, outros ataques do tipo flooding, fragmentao etc. Fim da Atividade

9. Resumo Ativo definido pela ISO 27001 como qualquer coisa que tenha valor para a organizao. O grau de criticidade de um risco de TI depende do valor do ativo que se quer proteger, da quantidade de ameaas existentes e da quantidade de vulnerabilidades

que possam ser exploradas. Quanto maiores forem esses fatores, maior ser o grau de criticidade do risco. H cinco princpios bsicos da segurana da informao; trs so mais tradicionais: a confidencialidade, a integridade e a disponibilidade; dois esto relacionados evoluo das tecnologias de certificao digital: a autenticidade e o no repdio. O controle de acesso, s vezes mencionado como um princpio da segurana da informao, nada mais do que uma forma de garantir a observncia da confidencialidade, da integridade, da disponibilidade, da autenticidade ou do no repdio. O cenrio atual dificulta a atuao dos administradores, pois h muito mais automao, capacidade de atuao a distncia, maior sensao de anonimato e compartilhamento instantneo de tcnicas de invaso. As tcnicas de coleta de informaes estudadas nesta aula foram: a engenharia social, o phishing, o packet sniffing, o port scanning, o scanning de vulnerabilidades, o IP spoofing, o ARP spoofing. Algumas tcnicas de coleta necessitam de algum comprometimento inicial da rede ou de um sistema (como no caso dos sniffers). Os cdigos maliciosos vistos nesta aula foram os vrus, os worms, os trojans, os spywares, os loggers e os exploits. Cdigos maliciosos tambm podem ser utilizados como forma de coleta de informaes (por exemplo, no caso dos spywares e loggers) ou como forma de comprometimento inicial para um ataque posterior (por exemplo, no caso dos trojans).

Prxima aula Na prxima aula estudaremos uma das mais populares e antigas formas de defesa de permetro: os firewalls. Sobre este assunto vamos abordar os principais conceitos, ver as diversas topologias possveis, as diferenas entre firewalls stateless e firewall statefull etc. Alm disso, os conceitos de proxy e de DMZs tambm sero assuntos da aula. Pratique o que voc aprendeu e contribua com os fruns desta aula fazendo os seus questionamentos ou ajudando a esclarecer as dvidas dos outros participantes. At a prxima!

Questes Finais 1) Julgue os itens a seguir assinalando V para Verdadeiro e F para Falso. I. II. III. IV. V. ( ) Ativos com alto grau de vulnerabilidades so ativos altamente crticos. ( ) Por definio, se a ameaa for nula, a criticidade tambm ser nula. ( ) Por definio, se a ameaa for nula, a vulnerabilidade tambm ser nula. ( ) Confiabilidade, integridade e disponibilidade so os trs maiores princpios de segurana da informao segundo a norma ISO 27001. ( ) Worms se replicam sozinhos; j os vrus sempre dependem de alguma ao executada pelo usurio ou pelo administrador da mquina infectada.

2) O que so tcnicas de spoofing? Explique e d exemplos. 3) (Perito Criminal - Polcia Civil/PA/2007 - CESPE) Quanto ao monitoramento de trfego em uma rede, julgue os seguintes itens. I. O tcpdump um packet sniffer que possibilita a interceptao e apresentao de pacotes que trafegam por uma rede TCP/IP. Os dados nos pacotes interceptados podem ser armazenados em arquivos para posterior anlise. II. Um packet sniffer possibilita monitorar o trfego em uma rede. Em uma rede Ethernet, para monitorar o trfego destinado ao endereo de broadcast, a placa de interface com a rede precisa ser configurada no modo promscuo. III. Em uma rede Ethernet, um packet sniffer pode ser usado para monitorar o trfego destinado ao endereo de broadcast e a endereos de multicast, mas no trfego unicast destinado mquina com o packet sniffer. IV. H tcnicas que podem ser usadas para se tentar identificar a presena de packet sniffers em redes Ethernet. Por exemplo, um pacote ARP pode ser enviado para um endereo que no seja o de broadcast. Se uma mquina responder a esse pacote, possivelmente tem uma placa de rede no modo promscuo. Esto certos apenas os itens A. I e II. B. I e IV. C. II e III. D. III e IV. 4) Enumere a primeira coluna de acordo com a segunda. ( ( ( ( ( ) Interceptao. ) Fabricao. ) Modificao. ) Interrupo. ) Negao. ( 1 ) No repdio. ( 2 ) Confidencialidade. ( 3 ) Disponibilidade. ( 4 ) Integridade. ( 5 ) Autenticidade.

5) (Perito Criminal - Polcia Federal/2002 - CESPE) Considere uma rede em que h a suspeita da existncia de um sniffer instalado em uma das mquinas, realizando escutas desautorizadas. Com relao a essa situao, julgue os itens abaixo.

[1] Constitui boa estratgia de deteco de sniffer aquela que se fundamenta na identificao do trfego gerado por ele durante a escuta, trfego que normalmente acontece em grande quantidade, seja o sniffer em redes comutadas ou no. [2] Pode-se detectar a existncia de um sniffer na rede usando-se outro sniffer e verificando quem faz consultas de DNS quando uma nova mquina adicionada rede. [3] Na identificao de um snnifer, constitui boa estratgia o envio de pings em broadcast e a comparao dos tempos de resposta das vrias mquinas no segmento: o tempo de resposta da mquina que contm sniffer provavelmente ser maior que o das outras mquinas. [4] A deteco de um sniffer quase sempre acontece com sucesso, sendo a sua identificao fundamentada no endereo MAC. 6) (Perito Criminal - Polcia Federal/2004 - CESPE) Acerca das vulnerabilidades e protees dos sistemas de informao, julgue os itens a seguir. [97] Os programas conhecidos como spyware so um tipo de trojan que tem por objetivo coletar informaes acerca das atividades de um sistema ou dos seus usurios e representam uma ameaa confidencialidade das informaes acessadas no sistema infectado. Esses programas no so considerados como vrus de computador, desde que no se repliquem a partir de um sistema onde tenham sido instalados. [98] Um ataque de scanner consiste na monitorao de servios e verses de software que esto sendo executados em um determinado sistema. Um sistema firewall que implementa um filtro de conexes capaz de anular os efeitos desse tipo de ataque. [99] A captura de pacotes que trafegam na rede com uso de um sniffer um exemplo de ataque para o qual no h nenhuma forma de deteco possvel pelo administrador de rede. 7) (Tcnico Cientfico - BASA/2006 - CESPE) No tocante a vulnerabilidades, mecanismos, tcnicas e polticas de segurana em redes, julgue os itens a seguir. [110] Um trojan um programa no-autorizado, embutido dentro de um programa legtimo, que executa funes desconhecidas e, provavelmente, indesejveis. O programa alvo realiza a funo desejada, mas, devido existncia de cdigo noautorizado dentro dele, tambm executa funes desconhecidas. [112] Um ataque de spoofing se baseia em uma situao na qual uma pessoa ou programa consegue se mascarar com sucesso, por exemplo, se fazendo passar por outra por meio de falsificao de dados. Um exemplo desse tipo de ataque vem da rea de criptografia e conhecido como man in the middle attack. 8) (Analista de Sistemas - IPEA/2008 - CESPE) Acerca de segurana em redes, controle de logs e polticas de backup de ativos de rede, julgue os itens seguintes. [84] Atualmente, a maioria dos vrus ainda detectada por meio de assinaturas. A pesquisa por assinatura varivel conforme o antivrus. D-se o nome de falso positivo a um alarme falso gerado pelo antivrus, isto , quando um erro na lista de definio faz que o programa marque arquivos limpos e seguros como infectados. [117] Um vrus metamrfico faz mutao a cada infeco, podendo tanto mudar de comportamento quanto de aparncia. [118] Em um ataque negao de servio por refletor reflector distributed denial of service (DdoS) entidades escravas do atacante constroem pacotes que requerem

respostas e contm o endereo IP do alvo como endereo fonte no cabealho, de modo que ao serem enviados a computadores no infectados, os refletores, tais pacotes provocam respostas direcionadas ao endereo alvo do ataque.

Respostas 1) F V F F V. 2) As tcnicas de spoofing implicam forjar ou disfarar informaes do atacante como se fossem informaes legtimas. A informao em si pode ser um endereo de rede, um endereo de enlace etc. Em alguns casos o prprio atacante modifica a informao que ele gera (como no IP spoofing); em outros, uma entidade comprometida para gerar informaes falsas (como no DNS spoofing). 3) Alternativa B. A afirmao I correta. A afirmativa II incorreta, pois o trfego de broadcast recebido normalmente por todas as mquinas independentemente de elas estarem em modo promscuo. A alternativa III incorreta, pois o trfego unicast destinado mquina com o packet sniffer sempre recebido por ela. A afirmao IV correta, conforme vimos na teoria. Logo, so corretas as afirmaes I e IV. 4) 2 5 4 3 1. 5) A afirmao [1] falsa. A deteco do sniffer baseada principalmente no trfego recebido por ele (em modo promscuo), no no trfego que ele gera; alm disso, ele no gera grande quantidade de trfego na rede. A afirmao [2] verdadeira. Faz parte do comportamento do sniffer gerar consultas DNS sempre que surgem novas mquinas na rede a fim de aprender seus nomes. A afirmao [3] verdadeira. O sniffer, por estar recebendo uma carga de pings maior (todos chegam a ele), se torna cada vez mais lento em suas respostas. A afirmao [4] falsa. No temos garantias para afirmar que um mtodo de deteco do sniffer ser quase sempre efetivo. Na prtica, isso depender de vrios fatores. 6) A afirmao [97] falsa. O fato de o trojan poder se replicar no o torna um vrus de computador, pois, como vimos, as caractersticas dos vrus de computadores so bem especficas e diferentes das dos trojans. A afirmao [98] falsa, pois no h como o firewall impedir que o scanner faa uma varredura aleatria e detecte portas abertas. A afirmao [99] falsa. H formas de deteco de um sniffer de pacotes. 7) A afirmao [110] verdadeira. Conforme definio vista. A afirmao [112] verdadeira. O man in the middle attack a entidade que se incorpora comunicao, sem conhecimento das partes envolvidas, para se fazer passar por uma delas. A forma com que isso feito pode ser baseada em spoofing (IP spoofing, ARP spoofing etc.). 8) A afirmao [84] verdadeira. Conforme definio vista. A afirmao [117] verdadeira. Conforme definio. A afirmao [118] verdadeira. Conforme definio.

Referncias SCHENEIER, Bruce. Secrets & Lies: Digital Security in a Networked World. Indiana: Wiley, 2004. STALLINGS, William. Criptografia e segurana de redes. 4 ed. So Paulo: Prentice-Hall, 2007.

FONTES, Edson. Segurana da Informao. So Paulo: Saraiva, 2006. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ABNT ISO/IEC 27001 - Tecnologia da informao - Tcnicas de segurana - Sistemas de gesto de segurana da informao Requisitos. Rio de Janeiro, 2006. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ABNT ISO/IEC 27002 - Tecnologia da informao - Tcnicas de segurana - Sistemas de gesto de segurana da informao Requisitos. Rio de Janeiro, 2005.