5 edicao marco_31_03_2012
Post on 18-Nov-2014
1.460 Views
Preview:
DESCRIPTION
TRANSCRIPT
Março 2012 • segurancadigital.info|01
Lic
ença
O Projeto Segurança Digital apóia o compartilhamento gratuito de informações e conhecimento, mas aomesmo tempo defende o fato de que, ao distribuir a obra de outra pessoa ou entidade você deverá citar afonte original desta, dando assim crédito ao seu autor. Esta revista não poderá ser comercializada sem autorização prévia do responsável Fábio Jânio Lima Ferreira.
O Projeto Segurança Digital garante a gratuidade desta edição. A mesma poderá ter uma versão impressa paga, porém a versão digital não poderá, em hipótese alguma, ser comercializada. Só será permitida umaversão impressa para cunho comercial sobre autorização prévia do titular da comunidade. A comercialização da versão impressa desta revista sem autorização prévia constitui crime previsto nas leis nº 6.895 e10.695.
Parágrafo que respalda esta revista:§ 1º Lei nº 6.895 Se a violação consistir em reprodução, por qualquer meio, com intuito de lucro, de
obra intelectual, no todo ou em parte, sem a autorização expressa do autor ou de quem o represente, ouconsistir na reprodução de fonograma ou videograma, sem autorização do produtor ou de quem o represente.
Cada autor é responsável por seu artigo, desta forma o Projeto Segurança Digital não se responsabilizapor quebra de direitos autorais, por qualquer colaborador.
Dar crédito ao autor original e a Revista Segurança Digital, citando o nome do autor(quando disponível) e endereço do projeto.
Você não pode utilizar esta obra como fonte comercial. Este direito é de totalexclusividade do titular responsável por manter o site Segurança Digital.
VOCÊ PODE:
COMAS SEGUINTES CONDIÇÕES:
Copiar, distribuir, criar obras derivadas e exibir a obra.
Compartilhamento pela mesma Licença. Se você alterar, transformar, ou criar outraobra com base nesta, você somente poderá distribuir a obra resultante sob umalicença idêntica a esta.
É, esse mês passou rápido. Até demais! Felizmente fechamoscom chave de ouro mais uma edição da Revista Segurança Digital,que ganhou uma nova roupagem, um visual desenhado a partir dozero. Como nosso objetivo é levar o melhor material até osleitores, este atraso pode ser perdoado, assim acredito.Nessa edição tivemos a inserção de um tutorial, prática que será
levada adiante nas edições seguintes, nossa colaboradora LígiaBarroso escreveu um artigo muito interessante sobre a área deDireito Digital atendendo a pedidos de leitores. É válido relembrarque você pode nos enviar sugestões por email, fazer comentáriosno site e até mesmo nas redes sociais em que temos participação(Twitter e Facebook).LDAP Injection é o artigo destaque dessa edição, escrito por
Bruno Cesar Moreira de Souza. Em seu artigo o autor em questãocomeça citando a vulnerabilidade chamada de "SQL Injection",muito utilizada por criminosos virtuais para conseguir acesso nãoautorizado a dados sensíveis ou até mesmo comprometer os dadosem questão, mas não para por aí. Além dos ataques de "SQLInjection" temos os seus irmãos "XPath Injection", "LDAPInjection", “SOAP Injection", "SMTP Injection" e muitos outros...Ainda falando sobre ataques de quem tem como objetivo realizaralgum tipo de injeção, é válido relembrar que em ediçõesanteriores desta revista falamos sobre "SQL Injection" e "PHPInjection". Voltando ao assunto principal dessa edição,demostrações de injeção a LDAP são efetuadas pelo autor,garantindo desta forma um melhor entendimento e aproveitamentodo artigo.Como mencionado logo no início dessa página, esta edição
conta com um tutorial prático referente a servidores SSH, escritopor Fábio Jânio. Atendendo a pedidos de leitores o tutorial emquestão possui uma abordagem bem simples e direta, o mesmoapresenta uma ferramenta de segurança utilizada para evitarataques do tipo bruteforce e outros ataques do gênero, essaferramenta atende muito bem as necessidades de usuário,administradores e profissionais de segurança que trabalham ouutilizam ambiente GNU/Linux.
Sejam bem vindos a mais uma edição Revista SegurançaDigital...
Por Fábio Jânio
Março 2012 • segurancadigital.info|02
Editorial
DIRETOR E DIAGRAMADORFábio Jânio Lima Ferreirafabiojanio@segurancadigital.info
EDITORESCHEFEJohnantan Pereirajohnantan.pereira@gmail.com
Luiz Felipe Ferreiralfferreira@gmail.com
EDITOR DE ARTEHélio José Santiago Ferreira
COLUNISTASAugusto Pannebecker Fernandesaugustopan@gmail.com
Thiago Fernandes Gaspar Caixetathiago.caixeta@gmail.com
Ronielton Rezende Oliveiraronielton@ronielton.eti.br
Julio Carvalhojulioinfo@gmail.com
Lígia Barrosoligiabarroso@hotmail.com
Bruno Cesar Moreira de Souzabruno.souza@ablesecurity.com.br
Nágila Magalhãesnagilamagalhaes@gmail.com
Fernando Shayanifernando@critteria.com.br
Yuri Diogenes
REVISÃOAndressa Findeisfindeis.andressa@gmail.com
Mauro Júniormaurompjunior@gmail.com
Raiana Pereiraraianagomes@yahoo.com.br
Na Internet
http://twitter.com/_SegDigital
www.facebook.com/segurancadigital
www.youtube.com/segurancadigital
www.segurancadigital.info
Artigo
Appliance de IDS/IPS ou Servidor com Snort?
Classificação da Informação
Criptografia simétrica e assimétrica (parte 1)
CyberWar a realidade que você desconhece
Direito & TI os desafios do "novo profissionaldo direito" em 2012
DNSSEC O antídoto contra os ataques DNS
LDAP Injection Como Funciona o Ataque eComo se Proteger
Pericia Digital: Conheça a arte da investigação"digital"
OpenStack solução para contrução de nuvens
Otimização de Links WAN
Segurança em Cloud Computing
Dica / Tutorial
SSH Proteção Com DenyHosts
Parceiros
4Linux
Data Security
HostDime
Kryptus
Anuncios / Divulgação
AbleSecurity
Data Security
Março 2012 • segurancadigital.info|03
Índic
e
05
07
11
16
19
21
25
30
33
35
37
41
58 Coluna do leitorEmails, sugestões e comentários.Envie o seu e, contribua para com o nossoprojeto
44 NotíciasFique informado quanto ao que aconteceno mundo virtual.
48
45
46
04 Agenda TIConfira o calendário dos profissionaisde TI
49
56
57
LLiinnkkss::http://twitter.com/agendatihttp://www.facebook.com/agendatiagendati@fedorowicz.com.br
PPeerr ff ii ll RReessppoonnssáávveell ::Eduardo Fedorowiczhttp://twitter.com/fedorowicz
Março 2012 • segurancadigital.info|04
No universo de Segurança da Informação, entremuitos conceitos, está o de IDS/IPS. IDS (Intrusion Detection System) como seu próprio sig
nificado, faz uma detecção de intrusão e gera um alerta, jáIPS (Intrusion Prevention System) vai além de detectar a tentativa de invasão, barra esta de maneira a bloquearo tráfego malicioso, protegendo o ambiente.O SNORT é um software livre com o objetivo de
realizar esta função de IDS/IPS. Pode ser utilizadoem hardware proprietário (Appliance) ou em servidordedicado, reduzindo seu custo de implantação.Com o crescente aumento do número de ataques e
sua diversidade, cada vez mais as empresas vêem anecessidade de utilizar uma solução de IDS/IPS a fimde evitar que sejam exploradas vulnerabilidades existentes em seu ambiente, sejam elas em protocolos oude softwares em uso.Com esta necessidade de segurança surge outra
questão a ser respondida: utilizar um ApplianceIDS/IPS de um fabricante ou utilizar um servidor dedicado rodando SNORT?Um appliance traz consigo a confiabilidade e o su
porte que o fabricante oferece, muitas vezes a um custo adicional, mas disponível mesmo assim. Já asolução de um servidor rodando SNORT, tem comoprincipal vantagem o custo, visto que o softwareSNORT é freeware e um bom servidor tem um custo
relativamente baixo. Vale lembrar que o SNORT também possui suporte do fabricante, tanto para osoftware quanto para novas ameaças que surgem nodiaadia. Porém este suporte também é ponto de discussão sobre uma solução ou outra, pois geralmente aresposta do suporte de um fabricante de um appliance é mais rápido do que da equipe do SNORT.O objetivo deste artigo não é menosprezar uma ou
outra solução, apenas apontar alguns pontos essenciais para a tomada de decisão, de um administrador derede, para qual alternativa optar.A solução utilizando um appliance tem um custo
alto que muitas vezes não atende aos objetivos deuma pequena ou média empresa. Para tomar a decisão sobre qual solução utilizar as empresas avaliamprimeiramente a relação custo benefício. Este appliance carrega consigo vantagens essenciais no desempenho da comunicação de backbone de uma empresa,como por exemplo, ausência de latência na comunicação, o que para maioria das empresas é essencialnas suas comunicações. Explicando, o conjuntohardware e software de um appliance são construídosde maneira a não injetar latência na comunicaçãoquando faz inspeção do tráfego. O hardware de umappliance geralmente é construído especialmente para este fim, uma arquitetura especial que não permitea injeção de atrasos na comunicação. Quando o tráfe
Março 2012 • segurancadigital.info|05
Appliance
deID
S/IPSou
Servidorcom
Snort?
go é intenso e supera um limite prédeterminado, definido pelo fabricante ou administrador da rede, o mesmo entra em modo failover, ou seja, faz um bypassnas suas portas, permitindo ao tráfego passar diretamente pelo seu hardware sem inspeção. Isto para muitos é uma falha de segurança, deixar o tráfego passarsem inspeção, mas vale ressaltar que não é fácil atingir este limite do equipamento, é a última alternativado mesmo. Além disso, os administradores precisamter atenção para filtros habilitados que não possuemtráfego inspecionado contabilizado no equipamento,ocupando memória/CPU e contribuindo para que estelimite seja atingido.Já a solução de um servidor rodando SNORT, ape
sar do mesmo suportar arquiteturas RISC e CISC dehardware, dificilmente não inserirá latência na comunicação, devido ao hardware do servidor não ter sidofabricado para este fim, por melhor que este seja. Esta solução, na opinião deste, tem sua melhor aplicação em pequenas e médias empresas, que nãonecessitam de tráfego externo livre de latência.Muitos fabricantes fazem uso do SNORT em seus
appliances, a principal diferença entre suas soluções eaquelas implementadas com servidores, é o hardwareproprietário – com um conjunto de processadores emlinha fabricado especialmente para este fim. UmIDS/IPS, seja ele um appliance ou um SNORT, temseu funcionamento semelhante ao de um software antivírus. Ambos se utilizam de uma base de dados devulnerabilidades atualizada, para inspecionar o tráfego/arquivos a fim de detectar ameaças conhecidas, adiferença é que o IDS/IPS atua na camada 3 (rede) domodelo OSI e o antivírus na camada 7 (aplicação).Esta base de dados é atualizada sempre que uma vulnerabilidade se torna conhecida e passa pela análisede uma equipe especializada, seja do fabricante do appliance ou do SNORT. Esta explicação ajuda a entender o porquê da necessidade de um hardware tãorobusto para um IDS/IPS, pois o equipamento temque ser capaz de gerenciar o tráfego ao mesmo tempoem que o inspeciona procurando por ameaças, isto tudo sem gerar a temida latência.Por fim, podemos concluir que ambas as soluções
tem o mesmo objetivo, proteção do ambiente, porémcom duas diferenças principais: custo e desempenho.Cabe aos CSO (Chief Security Officer) juntamentecom os administradores, avaliarem qual solução utilizar, sempre levando em conta o escopo que desejamproteger e a melhor relação custo benefício para suaempresa.
ARTIGO Segurança Digital
|06
Augusto Pannebecker Fernandes
Técnico em Eletrônica e InformáticaIndustrial, superior em Análise e Desenvolvimento de Sistemas, pósgraduando em Especialização emSegurança da Informação 18 anos deexperiência na área de TI atualmenteatuando em Suporte de Redes/Telecom, Administrador de IDS/IPS, Analista e consultoria de segurança.
Email: augustopan@gmail.comTwitter: @AugustoPan
Figura 1 Logo do Snort.
UUmm ppoouuccoo mmaaiiss ssoobbrree oo SSNNOORRTT
O Snort, ferramenta criada por Martin Roesch émuito utilizada no meio corporativo para detectartentativas de invasão. As chances de você ser umprofissional de segurança e não conhecer esta ferramenta são bem remotas.Hoje, além do Snort ser comercializado em for
ma de appliances de alto desempenho a Sourcefirepossui uma linha de produtos também comercializados da mesma forma, como por exemplo um antivírus que funciona na nuvem.Essa ferramenta possui uma solução open sour
ce (grátis). Segundo seu criador basicamente nãoexiste quase nem uma diferença entre a soluçãopaga e grauita do produto principal (Snort), todosos préprocessadores, a lógica de detecção, oscomplementos de saída são os mesmos.
Site oficial: http://www.snort.org/
Março 2012 • segurancadigital.info
IInn tt rroodduuççããooDefinitivamente estamos vivendo a era da informa
ção. Seja nas ruas, no trabalho ou em casa, para ondeolhamos somos inundados com as mais variadas informações disponíveis nos mais diversos formatos: outdoors, livros, revistas, jornais, rádio, televisão,internet, etc. Muitas destas informações são úteis e serão utilizadas no nosso diaadia, porém outras comcerteza terão pouca importância, devendo ser desconsideradas.Saber analisar o que realmente é importante para
nós se torna um fato de extrema relevância, para nãoperdermos o foco do que nos interessa de verdade.Este exercício deve ser feito por todos, principalmente pelas organizações onde existe um ambiente emque a questão financeira será mais abrangente, podendo as informações se tornarem um diferencial competitivo, além de otimizar o capital disponívelaplicandoo onde é essencialmente importante. Nossoobjetivo aqui é fornecer o entendimento necessário,para que você possa buscar a valorização e proteçãodos seus ativos de informação em sua organização damelhor forma possível.Neste contexto, é interessante entendermos sobre
a classificação das informações dentro das organizações. As informações transitam dentro das empresasatravés dos mais variados canais, tais como publica
ções, cds e dvds, pendrives, emails, sistemas, etc. esaber classificálas de forma correta garante que estas recebam a devida proteção de acordo com seu nível de criticidade durante todo o seu ciclo de vida,desde sua criação até o seu descarte. A informação éum bem precioso das organizações, assim seu valordeve ser reconhecido no nível mais apropriado e oscolaboradores devem saber como protegêlas, paraque não ocorram acessos indevidos, sejam modificadas, excluídas por pessoas não autorizadas ou divulgadas sem prévia autorização, podendo gerar sériosprejuízos ao negócio e à imagem da organização.Á respeito disso a ISO/IEC 27002:2005 diz que “a
informação possui vários níveis de sensibilidade ecriticidade. Alguns itens podem necessitar um níveladicional de proteção ou tratamento especial. Convém que um sistema de classificação da informaçãoseja usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento”. Portanto a classificaçãodas informações pode ser entendida como um mecanismo para que as empresas identifiquem, definamcritérios e níveis de proteção adequados às mais diversas informações disponíveis nos mais diversosformatos. Assim garantese a confidencialidade, integridade e disponibilidade destas informações, alémde melhorar a aplicabilidade dos recursos financeiros
Março 2012 • segurancadigital.info|07
Classificaçã
odaInform
a-
ção
Uma maneira eficiente de proteger suasinformações e garantir o seu negócio
disponíveis, provendo segurança na medida certa para seus ativos.É importante ressaltar que todo este processo deve
ser periódico, ou seja, deve ser sempre revisto de tempos em tempos de forma a reavaliar o que está em vigor a fim de se constatar novas prioridades ecriticidades, lembrando que uma informação que possui um determinado valor hoje pode não possuir omesmo valor amanhã, podendo até mesmo se tornardispensável para a organização.
CCoonncceeii ttoossA classificação da informação deve ser constituída
por uma política com normas e procedimentos a serem seguidos pelos colaboradores, constituindo emuma política que deverá fazer parte do projeto de segurança da informação. Para compreender melhor este contexto, é importante que tenhamos em mentealguns conceitos, buscando o entendimento necessário para iniciar o desenvolvimento da política de classificação da informação. Vamos dividir estesconceitos aqui em dois grupos principais: conceitosgerais e os atores, onde definiremos os papéis e as responsabilidades. Abaixo podemos ver alguns conceitos importantes quando falamos de classificação dasinformações:
Com relação aos atores, no processo de classificação
da informação temos vários colaboradores envolvidos,onde cada um deles irá assumir um papel importanteno processo. Podemos agrupar estas responsabilidadesem quatro grupos principais:
DDeeff iinn iinnddoo ooss nníívveeiiss ddee cc llaassss ii ff ii ccaaççããooOs níveis de classificação são onde serão enqua
dradas as informações de acordo com prévia avaliação. São muito diversificados e podem variar deacordo com cada contexto em que está inserido, masno geral sua essência será sempre a mesma: definiruma escala de relevância com proteção adequada para os ativos de informação da organização. Assim vamos analisar cenários de culturas diferentes para quepossamos entender melhor estes conceitos. O primeiro deles é o governo dos Estados Unidos, que adotauma classificação por três níveis:
ARTIGO Segurança Digital
|08
Identificação: Toda informação deve estar devidamente identificada.Tranquilidade: A classificação de determinada informação não deve ser alterada sem prévia autorização.Classificação: É a atribuição de um nível de proteção da informação.Desclassificação: Remoção do nível de proteçãoda informação, rebaixando sua classe.Reclassificação: Altera o nível de proteção da informação.Right to Know: É o direito de saber as origens dosriscos a que estão expostas as informações.Need to Know: Compreende a real necessidade dousuário de acessar determinada informação.Least Privilege: Os usuários devem possuir privilégios mínimos para cumprir sua função.Auditoria: Devese manter um log de alteraçõespara fins de auditoria.System High Policy: A informação deve seguir onível de proteção da classe mais alta.
1. Proprietários das informações: são colaboradores responsáveis pela classificação das informações, reclassificação e desclassificação e devemparticipar de todo o processo referente à alteraçãoda mesma.2. Custodiantes: são os responsáveis pelo arma
zenamento e preservação das informações de terceiros. Um bom exemplo para estes profissionaisseriam os colaboradores de infraestrutura que sãoresponsáveis por servidores com informações quenão lhes pertencem.3. Gerentes: respondem pelo grupo de usuários
sob sua responsabilidade e por terceiros (visitantesou fornecedores) que utilizam informações da organização.4. Usuários: em geral são os colaboradores que
possuem mais contato com a informação e fazemmaior uso dela.
Top Secret
Devem ser classificadas neste nível as informaçõescuja divulgação não autorizada possa causar algumdano grave a segurança nacional.
Secret
Enquadramse neste nível as informações cuja revelação não autorizada possa causar algum dano sérioa segurança nacional.
Confidential
Informações cuja divulgação não autorizada possacausar algum dano à segurança nacional.
Março 2012 • segurancadigital.info
O segundo cenário, a classificação segundo o governo brasileiro, define em seu decreto nº 4.553/2002os níveis de proteção em:
Podemos constatar que as diferenças sempre irãoexistir nas mais diversas culturas, mas o objetivo principal será sempre o mesmo: a proteção dos ativos deinformação contra possíveis danos causados pela suamanipulação de forma incorreta. É importante citartambém que os ativos de informação deverão ser classificados de acordo com cada meio em que está inserido. Por exemplo, o descarte de uma informaçãoreservada possui características diferentes do descartede uma informação ultrasercreta assim como sua reprodução, transmissão ou transporte e assim deve seguir para todos os níveis de classificação, meios ourecursos existentes.No âmbito corporativo também não é diferente.
Deve existir uma classificação segundo o grau de sigilo das informações, que seguirá os mesmos princípiosdos governos citados, mas não existe um padrão se
guido por todas as organizações. Portanto poderãosofrer alterações de acordo com a necessidade de cada instituição. Assim vamos abordar aqui um modeloexemplificando sua aplicabilidade no mundo corporativo:
Na classificação de informações como “Públicas”,exemplos comuns que se encaixam neste nível seriam catálogos de serviços, informações institucionaisde portais corporativos, dentre outros, que não requerem um cuidado especial com relação á divulgação aterceiros, por possuir um conteúdo com baixa criticidade para a organização e havendo muitas vezesgrande interesse na sua divulgação. Já as informações tidas com de “Uso Interno” são informações quedevem transitar estritamente dentro das organizações.Podem estar neste contexto impressos, relatórios cominformações de baixa criticidade para a empresa, etc.Informações classificadas como “Restritas” são
informações mais sensíveis e, desta forma, devem sermanipuladas com cuidados especiais, geralmentecom autorização do proprietário para demais fins.Um bom exemplo são as informações relativas aosfuncionários, como salários e promoções, que devemser de conhecimento apenas dos participantes de taisprocessos na empresa.Temos para o nível mais alto desta cadeia de clas
sificação, informações que requerem alto grau deatenção com sua proteção e manipulação. Informações “Secretas” são informações onde poucos devemter conhecimento, geralmente colaboradores com posições estratégicas dentro das empresas. Aplicamseneste cenário informações tais como chaves criptográficas, planos de lançamento de novos produtos,fusões ou novas aquisições e etc., que com certezacausariam um grande estrago para a organização casotivessem seu conteúdo acessado por pessoas não autorizadas.
ARTIGO Segurança Digital
|09
UltraSecretos
Dados ou informações referentes à soberania e à integridade territorial nacionais, a planos e operaçõesmilitares, às relações internacionais do País [...], cujo conhecimento nãoautorizado possa acarretar dano excepcionalmente grave à segurança dasociedade e do Estado (4.553/2002, Art. 5º, § 1º).
Secretos
[...] Dados ou informações referentes a sistemas,instalações, programas, projetos, planos ou operações de interesse da defesa nacional, a assuntos diplomáticos e de inteligência [...], programas ouinstalações estratégicos, cujo conhecimento nãoautorizado possa acarretar dano grave à segurança dasociedade e do Estado (4.553/2002, Art. 5º, § 2º).
Confidenciais
[...] Dados ou informações que, no interesse do Poder Executivo e das partes, devam ser de conhecimento restrito e cuja revelação nãoautorizada possafrustrar seus objetivos ou acarretar dano à segurançada sociedade e do Estado (4.553/2002, Art. 5º, § 3º).
Reservados
[...] Dados ou informações cuja revelação nãoautorizada possa comprometer planos, operações ou objetivos neles previstos ou referidos (4.553/2002, Art.5º, § 4º).
Março 2012 • segurancadigital.info
É importante ressaltar que a classificação por níveis deve ser dividida em duas partes: meios digitaise meios não digitais. Informações presentes nestesdois meios possuem características diferentes, trafegam em locais diferentes e, portanto necessitam decuidados diferentes em seu processo de classificação.Logo abaixo podemos visualizar um panorama geralda classificação da informação segundo o contexto retratado acima:
CCoonncc lluussããooPodemos constatar que a classificação das informa
ções é um processo de extrema relevância para as organizações. Porém, para que alcance seus objetivos,devese seguir todas as etapas necessárias, desde o levantamento inicial das necessidades do negócio até otreinamento dos usuários para o bom cumprimentodos procedimentos originados da política de classificação das informações, o que será fator decisivo paraque a política seja seguida conforme implantada e funcione de forma satisfatória. Deve ser acompanhadade forma constante pelos responsáveis, atualizada eotimizada sempre que necessário, para que reflitasempre o estado atual da organização e se constituaem mais uma importante ferramenta para a segurançadas informações dentro do ambiente organizacional.
BBiibb ll iiooggrraaff iiaassAfonso Kalil, Fumec, 2011. Material didático.
DECRETO Nº 4.553, DE 27 DE DEZEMBRO DE2002. Disponível em:<http://www.planalto.gov.br/ccivil_03/decreto/2002/D4553.htm>. Acesso em: 10 de mar 2012.
ELETRONIC PRIVACY INFORMATION CENTER.Disponível em:<http://epic.org/open_gov/eo_12356.html>. Acesso
em: 10 de mar 2012.
FERREIRA, João Carlos Peixoto; NETO, EnnistenMudado; LEITE, Ricardo A. C.. Classificação daInformação de acordo com normal ISO/IEC17799:2005. Disponívelem:<https://www.jhcruvinel.com/index.php?option=com_docman&task=doc_view&gi =62&Itemid=2>.Acesso em: 11 de mar 2012.
Francisco Temponi, Fumec,2011. Material didático.
ISO/IEC 17799:2005.
PIKE, Jonh. Security andClassification Disponívelem:<http://www.ostgate.com/classification.html>. Acessoem: 11 de mar 2012.
SECURITY HACKER. Disponível em:<http://www.securityhacker.org/artigos/item/classificacaodainformacao>. Acesso em: 12 de mar 2012.
SILVA, Aldo. Disponível em: <http://herculesnow.com/2010/03/30/classificacaodainformacao%E2%80%93parte2/>. Acesso em: 12 de mar 2012.
ARTIGO Segurança Digital
|10
Thiago Fernandes Gaspar Caixeta
Graduado em Ciência da Computação eMBA em Gestão da Segurança da Informação pela Universidade Fumec, atua naárea de TI como Analista de Sistemas eSegurança da Informação. Entusiasta daforense computacional.
Email: thiago.caixeta@gmail.comTwitter: @tfgcaixeta
Março 2012 • segurancadigital.info
A palavra criptografia provém dos radicais gregoskriptos (oculto) e grapho (escrita) e é o nome dado à ciência ou arte de codificar mensagens usan
do uma fórmula, que também será utilizada depois paradecodificar a mesma mensagem. Na criptografia moderna,esta fórmula é chamada de algoritmo. Usada há milêniospela humanidade, a criptografia se tornou essencial paragarantir a privacidade das comunicações no mundo atual,principalmente em redes de computadores públicas comoa internet, por onde circulam dados pessoais, comerciais,bancários e outros. Conhecer, difundir e utilizar algoritmos criptográficos é essencial ao profissional de Tecnologia da Informação que no mundo moderno, entre suasatribuições deve proteger e garantir a privacidade das transações comerciais realizadas através de meios eletrônicos,assim é fundamental o entendimento das técnicas, seus algoritmos, protocolos e finalmente a maneira como estes lidam com a informação a ser mantida segura.
Palavras chave: Criptografia; Algoritmo; Segurança.
11.. IInnttrroodduuççããooQuando falamos de informação e transportamos es
te conceito para o meio digital, particularmente na utilização das redes públicas de computação como ainternet, e diversos são os serviços realizados é relevante ao ser humano à credibilidade nos sistemas
computacionais, estes que inseridos nos fundamentosda segurança da informação, são definidos pela disponibilidade, integridade, controle de acesso, autenticidade, nãorepudiação e finalmente a privacidade,os quais devem ser de livre compreensão e facilmente perceptíveis ao se efetuar transações computacionais:
O exemplo clássico é uma compra pela internet,todos os requisitos são encontrados neste processo detroca de informações: A informação que permite a
|11
Criptografiasimétrica
eassim
étrica
(parte1)
Conheça os principais algoritmos de cifragem
Não se esqueça de ler a continuidade deste artigo napróxima edição da Revista Segurança Digital...
Disponibilidade garantir que uma informaçãoestará disponível para acesso no momento desejado.Integridade garantir que o conteúdo da men
sagem não foi alterado.Controle de acesso garantir que o conteúdo da
mensagem somente será acessado por pessoas autorizadas.Autenticidade garantir a identidade de quem
está enviando a mensagem.Nãorepudiação prevenir que alguém negue o
envio e/ou recebimento de uma mensagem.Privacidade impedir que pessoas não autori
zadas tenham acesso ao conteúdo da mensagem,garantindo que apenas a origem e o destino tenhamconhecimento.
Março 2012 • segurancadigital.info
transação valor e descrição do produto precisaestar disponível no dia e na hora que o cliente desejarefetuála (disponibilidade), o valor da transação nãopode ser alterado (integridade), somente o cliente queestá comprando e o comerciante devem ter acesso àtransação (controle de acesso), o cliente que estácomprando deve ser realmente quem diz ser(autenticidade), o cliente tem como provar opagamento e o comerciante não têm como negar orecebimento (nãorepúdio) e o conhecimento doconteúdo da transação fica restrito aos envolvidos(privacidade).Assim é fundamental que técnicas computacionais
sejam empregadas para que os requisitos de proteçãoda informação sejam atendidos. Neste cenárioapresentamse os dois tipos básicos de criptografia: asimétrica ou chave privada, e a assimétrica ou chavepública.
22.. CCrriippttooggrraaffiiaa ssiimmééttrriiccaa oouu cchhaavvee pprriivvaaddaaO modelo mais antigo de criptografia, em que a
chave, isto é, o elemento que dá acesso à mensagemoculta trocada entre duas partes, é igual (simétrica)para ambas as partes e deve permanecer em segredo(privada). Tipicamente, esta chave é representada poruma senha, usada tanto pelo remetente para codificara mensagem numa ponta, como pelo destinatário paradecodificála na outra.Essencialmente, quando a origem (ALFA) cifra
uma mensagem, ele utiliza um algoritmo deciframento para transformar o conteúdo em claro damensagem em texto cifrado. Quando o destino(BRAVO) decifra uma mensagem, ele utiliza oalgoritmo de deciframento correspondente paraconverter o texto cifrado de novo em uma mensagemclara. Se um intruso (CHARLIE) conhecer oalgoritmo de ciframento, ele poderia decifrar umamensagem cifrada tão facilmente quanto o destino(BRAVO). A solução no uso da criptografia de chaveprivada propõe que quando a origem (ALFA) cifrauma mensagem, ele utilize um algoritmo deciframento e uma chave secreta para transformar umamensagem clara em um texto cifrado. O destino(BRAVO), por sua vez, ao decifrar a mensagem,utiliza o algoritmo de deciframento correspondente ea mesma chave para transformar o texto cifrado emuma mensagem em claro. O intruso (CHARLIE), pornão possuir a chave secreta, mesmo conhecendo oalgoritmo, não conseguirá decifrar a mensagem. Asegurança do sistema passa a residir não mais no
algoritmo e sim na chave empregada. É ela (chaveprivada) que agora, no lugar do algoritmo, deverá sermantida em segredo pela origem (ALFA) e destino(BRAVO).A principal vantagem é a simplicidade, esta
técnica apresenta facilidade de uso e rapidez paraexecutar os processos criptográficos. Entenda que seas chaves utilizadas forem complexas a elaboraçãode um algoritmo de chave privada se torna bastantefácil, porém as possibilidades de interceptação sãocorrelatas aos recursos empregados, entretanto suautilização é considerável no processo de proteção dainformação, pois quanto mais simples o algoritmo,melhor é a velocidade de processamento e facilidadede implementação.O principal problema residente na utilização deste
sistema de criptografia é que quando a chave deciframento é a mesma utilizada para deciframento,ou esta última pode facilmente ser obtida a partir doconhecimento da primeira, ambas precisam sercompartilhadas previamente entre origem e destino,antes de se estabelecer o canal criptográficodesejado, e durante o processo de compartilhamentoa senha pode ser interceptada, por isso é fundamentalutilizar um canal seguro durante o compartilhamento,este independente do destinado à comunicaçãosigilosa, uma vez que qualquer um que tenha acessoà senha poderá descobrir o conteúdo secreto damensagem. Outras lacunas são interpostas a estesistema:
Tabela 1 Principais algoritmos de chave privada oucriptografia simétrica
ARTIGO Segurança Digital
|12
Como cada par necessita de uma chave para secomunicar de forma segura, para um uma rede den usuários precisaríamos de algo da ordem de n2chaves, quantidade esta que dificulta a gerênciadas chaves;A chave deve ser trocada entre as partes e arma
zenada de forma segura, o que nem sempre é fácilde ser garantido;A criptografia simétrica não garante os princípi
os de autenticidade e nãorepudiação.
Março 2012 • segurancadigital.info
33.. CCrriippttooggrraaffiiaa aassssiimmééttrriiccaa oouu cchhaavveeppúúbblliiccaaModelo de criptografia criado na década de 1970
pelo matemático Clifford Cocks que trabalhava noserviço secreto inglês, o GCHQ na qual cada parteenvolvida na comunicação usa duas chaves diferentes(assimétricas) e complementares, uma privada e outrapública. Neste caso, as chaves não são apenas senhas,mas arquivos digitais mais complexos (que eventualmente até estão associados a uma senha). A chave pública pode ficar disponível para qualquer pessoa quequeira se comunicar com outra de modo seguro, masa chave privada deverá ficar em poder apenas de cadatitular. É com a chave privada que o destinatário poderá decodificar uma mensagem que foi criptografadapara ele com sua respectiva chave pública.Para entender o conceito, basta pensar num cadea
do comum protegendo um determinado bem. A men
sagem é este bem, e o cadeado, que pode ficarexposto, é a chave pública. Apenas quem tiver umachave particular (privada) que consiga abrir o cadeado poderá acessar a mensagem. A principal vantagemdeste método é a sua segurança, pois não é preciso(nem se deve) compartilhar a chave privada. Por outro lado, o tempo de processamento de mensagenscom criptografia assimétrica é muitas vezes maior doque com criptografia simétrica, o que pode limitarseu uso em determinadas situações.Essencialmente, o destino (BRAVO) e todos os
que desejam comunicarse de modo seguro geramuma chave de ciframento e sua correspondente chavede deciframento. Ele mantém secreta a chave de deciframento, esta é chamada de sua chave privada. Eletorna pública a chave de ciframento, esta é chamadade sua chave pública. A chave pública realmente condiz com seu nome. Qualquer pessoa pode obter uma
ARTIGO Segurança Digital
|13
Algoritmo Bits Descrição
AES 128
O Advanced Encryption Standard (AES) é uma cifra de bloco, anunciado pelo National Institute ofStandards and Technology (NIST) em 2003, fruto de concurso para escolha de um novo algoritmo dechave simétrica para proteger informações do governo federal, sendo adotado como padrão pelo governo dos Estados Unidos, é um dos algoritmos mais populares, desde 2006, usado para criptografiade chave simétrica, sendo considerado como o padrão substituto do DES. O AES tem um tamanho debloco fixo em 128 bits e uma chave com tamanho de 128, 192 ou 256 bits, ele é rápido tanto emsoftware quanto em hardware, é relativamente fácil de executar e requer pouca memória.
DES 56
O Data Encryption Standard (DES) foi o algoritmo simétrico mais disseminado no mundo, até a padronização do AES. Foi criado pela IBM em 1977 e, apesar de permitir cerca de 72 quadrilhões decombinações, seu tamanho de chave (56 bits) é considerado pequeno, tendo sido quebrado por "forçabruta" em 1997 em um desafio lançado na internet. O NIST que lançou o desafio mencionado, recertificou o DES pela última vez em 1993, passando então a recomendar o 3DES.
3DES 112 ou 168O 3DES é uma simples variação do DES, utilizando o em três ciframentos suscessivos, podendo empregar uma versão com duas ou com três chaves diferentes. É seguro, porém muito lento para ser umalgoritmo padrão.
IDEA 128
O International Data Encryption Algorithm (IDEA) foi criado em 1991 por James Massey e Xuejia Laie possui patente da suíça ASCOM Systec. O algoritmo é estruturado seguindo as mesmas linhas geraisdo DES. Mas na maioria dos microprocessadores, uma implementação por software do IDEA é maisrápida do que uma implementação por software do DES. O IDEA é utilizado principalmente no mercado financeiro e no PGP, o programa para criptografia de email pessoal mais disseminado no mundo.
Blowfish 32 a 448 Algoritmo desenvolvido por Bruce Schneier, que oferece a escolha, entre maior segurança ou desempenho através de chaves de tamanho variável. O autor aperfeiçoou o no Twofish.
Twofish 128
É uma das poucas cifras incluídas no OpenPGP. O Twofish é uma chave simétrica que emprega a cifrade bloco de 128 bits, utilizando chaves de tamanhos variáveis, podendo ser de 128, 192 ou 256 bits. Elerealiza 16 interações durante a criptografia, sendo um algoritmo bastante veloz. A cifra Twofish não foipatenteada estando acessível no domínio público, como resultado, o algoritmo Twofish é de uso livrepara qualquer um utilizar sem restrição.
RC2 8 a 1024Projetado por Ron Rivest (o R da empresa RSA Data Security Inc.) e utilizado no protocolo S/MIME,voltado para criptografia de email corporativo. Também possui chave de tamanho variável. Rivesttambém é o autor dos algoritmos RC4, RC5 e RC6.
CAST 128
É um algoritmo de cifra de bloco, sendo criado em 1996 por Carlisle Adams e Stafford Tavares. OCAST128 é um algoritmo de Feistel, com 12 a 16 iterações da etapa principal, tamanho de bloco de 64bits e chave de tamanho variável (40 a 128 bits, com acréscimos de 8 bits). Os 16 rounds de iteraçãosão usados quando a chave tem comprimento maior que 80 bits.
Março 2012 • segurancadigital.info
cópia dela. O destino (BRAVO) inclusive encoraja isto, enviandoa para seus amigos ou publicandoa nainternet. Assim, O intruso (CHARLIE) não tem nenhuma dificuldade em obtêla. Quando a origem (ALFA) deseja enviar uma mensagem ao destino(BRAVO), precisa primeiro encontrar a chave públicadele. Feito isto, ela cifra sua mensagem utilizando achave pública do destino (BRAVO), despachandoaem seguida. Quando o destino (BRAVO) recebe amensagem, ele a decifra facilmente com sua chaveprivada. O intruso (CHARLIE), que interceptou amensagem em trânsito, não conhece a chave privadado destino (BRAVO), embora conheça sua chave pública. Mas este conhecimento não o ajuda a decifrar amensagem. Mesmo a origem (ALFA), que foi quemcifrou a mensagem com a chave pública do destino
(BRAVO), não pode decifrála agora.A grande vantagem deste sistema é permitir a
qualquer um enviar uma mensagem secreta, apenasutilizando a chave pública de quem irá recebêla. Como a chave pública está amplamente disponível, nãohá necessidade do envio de chaves como feito nomodelo simétrico. A confidencialidade da mensagemé garantida, enquanto a chave privada estiver segura.Caso contrário, quem possuir acesso à chave privadaterá acesso às mensagens.O óbice deste sistema é a complexidade emprega
da no desenvolvimento dos algoritmos que devem sercapazes de reconhecer a dupla de chaves existentes epoder relacionar as mesmas no momento oportuno, oque acarreta num grande poder de processamentocomputacional.
ARTIGO Segurança Digital
|14
Algoritmo Descrição
RSA
O RSA é um algoritmo assimétrico que possui este nome devido a seus inventores: Ron Rivest, Adi Shamir e LenAdleman, que o criaram em 1977 no MIT. Atualmente, é o algoritmo de chave pública mais amplamente utilizado,além de ser uma das mais poderosas formas de criptografia de chave pública conhecidas até o momento. O RSAutiliza números primos. A premissa por trás do RSA consiste na facilidade de multiplicar dois números primos paraobter um terceiro número, mas muito difícil de recuperar os dois primos a partir daquele terceiro número. Isto éconhecido como fatoração. Por exemplo, os fatores primos de 3.337 são 47 e 71. Gerar a chave pública envolvemultiplicar dois primos grandes; qualquer um pode fazer isto. Derivar a chave privada a partir da chave públicaenvolve fatorar um grande número. Se o número for grande o suficiente e bem escolhido, então ninguém pode fazeristo em uma quantidade de tempo razoável. Assim, a segurança do RSA baseia se na dificuldade de fatoração denúmeros grandes. Deste modo, a fatoração representa um limite superior do tempo necessário para quebrar oalgoritmo. Uma chave RSA de 512 bits foi quebrada em 1999 pelo Instituto Nacional de Pesquisa da Holanda, como apoio de cientistas de mais 6 países. Levou cerca de 7 meses e foram utilizadas 300 estações de trabalho para aquebra. No Brasil, o RSA é utilizado pela ICPBrasil, no seu sistema de emissão de certificados digitais, e a partirdo dia 1º de janeiro de 2012, as chaves utilizadas pelas autoridades certificadoras do país, passam a serem emitidascom o comprimento de 4.096bits, em vez dos 2.048bits atuais.
Tabela 2 Principais algoritmos de chave pública ou criptografia assimétrica
ElGamal
O ElGamal é outro algoritmo de chave pública utilizado para gerenciamento de chaves. Sua matemática difere dautilizada no RSA, mas também é um sistema comutativo. O algoritmo envolve a manipulação matemática degrandes quantidades numéricas. Sua segurança advém de algo denominado problema do logaritmo discreto. Assim,o ElGamal obtém sua segurança da dificuldade de calcular logaritmos discretos em um corpo finito, o que lembrabastante o problema da fatoração.
DiffieHellman
Também baseado no problema do logaritmo discreto, e o criptosistema de chave pública mais antigo ainda em uso.O conceito de chave pública, aliás foi introduzido pelos autores deste criptosistema em 1976. Contudo, ele nãopermite nem ciframento nem assinatura digital. O sistema foi projetado para permitir a dois indivíduos entrarem emum acordo ao compartilharem um segredo tal como uma chave, muito embora eles somente troquem mensagens empúblico.
CurvasElípticas
Em 1985, Neal Koblitz e V. S. Miller propuseram de forma independente a utilização de curvas elípticas parasistemas criptográficos de chave pública. Eles não chegaram a inventar um novo algoritmo criptográfico com curvaselípticas sobre corpos finitos, mas implementaram algoritmos de chave pública já existentes, como o algoritmo deDiffieHellman, usando curvas elípticas. Assim, os sistemas criptográficos de curvas elípticas consistem emmodificações de outros sistemas (o ElGamal, por exemplo), que passam a trabalhar no domínio das curvas elípticas,em vez de trabalharem no domínio dos corpos finitos. Eles possuem o potencial de proverem sistemascriptográficos de chave pública mais seguros, com chaves de menor tamanho. Muitos algoritmos de chave pública,como o DiffieHellman, o ElGamal e o Schnorr podem ser implementados em curvas elípticas sobre corpos finitos.Assim, fica resolvido um dos maiores problemas dos algoritmos de chave pública, o grande tamanho de suaschaves. Porém, os algoritmos de curvas elípticas atuais, embora possuam o potencial de serem rápidos, são em geralmais demorados do que o RSA.
Março 2012 • segurancadigital.info
44.. CCeerrttiiffiiccaaddoo ddiiggiittaallCom um sistema de chave pública, o
gerenciamento de chaves passa a ter dois novosaspectos: primeiro, devese previamente localizar achave pública de qualquer pessoa com quem sedeseja comunicar e, segundo, devese obter umagarantia de que a chave pública encontrada sejaproveniente daquela pessoa. Sem esta garantia, umintruso pode convencer os interlocutores de quechaves públicas falsas pertencem a eles.Estabelecendo um processo de confiança entre osinterlocutores, o intruso pode fazerse passar porambos. Deste modo, quando um emissor enviar umamensagem ao receptor solicitando sua chave pública,o intruso poderá interceptála e devolverlhe umachave pública forjada por ele. Ele também pode fazero mesmo com o receptor, fazendo com que cada ladopense que está se comunicando com o outro, quandona verdade estão sendo interceptados pelo intruso,então este pode decifrar todas as mensagens, cifrálasnovamente ou, se preferir, até substituílas por outrasmensagens. Através deste ataque, um intruso podecausar tantos danos ou até mais do que causaria seconseguisse quebrar o algoritmo de ciframentoempregado pelos interlocutores.A garantia para evitar este tipo de ataque é
representada pelos certificados de chave pública,comumente chamados de certificado digital, taiscertificados consistem em chaves públicas assinadaspor uma pessoa de confiança. Servem para evitartentativas de substituição de uma chave pública poroutra. O certificado contém algo mais do que suachave pública, ele apresenta informações sobre onome, endereço e outros dados pessoais, e é assinadopor alguém em quem o proprietário deposita suaconfiança, uma autoridade de certificação(certification authority CA). Assim, um certificadodigital pode ser definido como um documentoeletrônico, assinado digitalmente por uma terceiraparte confiável.No Brasil, o órgão da autoridade certificadora raiz
é o ICPBrasil (ACRaiz), ele é o executor daspolíticas de certificados e normas técnicas eoperacionais aprovadas pelo Comitê Gestor da ICPBrasil. São autoridades certificadoras no país: Serpro(ACSERPRO), Caixa Econômica Federal (ACCAIXA), Serasa Experian (ACSERASA), ReceitaFederal do Brasil (ACRFB), Certsing (ACCertisign), Imprensa Oficial do Estado de São Paulo(ACIOSP), Autoridade Certificadora da Justiça (AC
JUS), Autoridade Certificadora da Presidência daRepública (ACPR) e Casa da Moeda do Brasil (ACCMB).Assim, a ACRaiz tem autoridade de emitir,
expedir, distribuir, revogar e gerenciar os certificadosdas autoridades certificadoras de nível imediatamentesubsequente ao seu, sendo também encarregada deemitir a lista de certificados revogados e de fiscalizare auditar as autoridades certificadoras, autoridades deregistro e demais prestadores de serviço habilitadosna ICPBrasil. Além disso, verifica se as autoridadescertificadoras (ACs) estão atuando em conformidadecom as diretrizes e normas técnicas estabelecidaspelo Comitê Gestor.
ARTIGO Segurança Digital
|15
Ronielton Rezende Oliveira
MBA Executivo Internacional pela OhioUniversity/USA; MBA Gerenciamentode Projetos pela FGV; pósgraduadoCriptografia e Segurança em Redes pelaUFF; graduado Ciência da Computaçãopela UninCor. Certificado PMP, CobiT,ITIL. Carreira direcionada em Governança de TI, Segurança da Informação eGerenciamento de Projetos.
Site: http://www.ronielton.eti.brEmail: ronielton@ronielton.eti.brTwitter: @ronielton
CCoonnttiinnuuaa nnaa pprróóxxiimmaa eeddiiççããoo......
Aguarde a próxima edição de nossa revista parapoder conferir a continuidade deste artigo. Veja abaixo os pontos que ainda serão vistos:
5. Assinatura digital;
6. Função hashing;
7. Sistemas híbridos;
8. Conclusão.
Março 2012 • segurancadigital.info
Vírus, DDoS e CyberWar, há alguma relação entreeles? Para respondermos a essa questão é preciso voltar um pouco na história da computação e entender como tudo começou.1982 o vírus considerado como precursor de tudo
o que vemos hoje, foi criado por um garoto de 15anos...1983 o pesquisador Len Eidelmen apresentou, em
um seminário de segurança computacional, o que seria o primeiro código de computadores com capacidade para se autoreplicar e no ano seguinte o termoVÍRUS foi definido como um programa com capacidade de alterar o código de outros programas replicando assim seu código para outras partes do sistema.1986 o primeiro virus para PC foi descoberto e a
ele deram o nome de Brain. Criado para infectar aárea de boot dos sistemas, o Brain era transmitido pordisquetes e seu método de infecção foi bastante "popular" até meado dos anos 90.1988 o primeiro código malicioso transmitido pela
internet ficou conhecido como Morris Worm e foi distribuído acidentalmente para cerca de 60.000 computadores conectados que tiveram seu sistemaoperacional inutilizado. A propagação e eficácia doMorris Worm foi ocasionada devido ao um erro no código do programa. Ao tentar ser processado pelos sistemas os mesmos acabavam sendo corrompidos.
No fim dos anos 90 e inicio dos anos 2000 tivemos o grande "BOOM" de propagação de vírus nomundo. Diversos Worms foram criados e milhões desistemas foram infectados, prejudicados e até mesmoinutilizados. Alguns dos principais vírus foram o"Chernobyl" de 1999, "I love You" de 2000, "Nimda" de 2001, "SQL Slammer" de 2003 e "Sasser" de2004. A principal característica entre eles? O poderde propagação e indisponibilidade de sistemas.Aproveitando a expansão dos vírus na internet, o
email se tornou o principal meio de distribuição denovas pragas, cerca de 67% de todos os emails quecirculam na internet atualmente são SPAM e esse número já chegou a 97% entre o fim de 2009 e inicio de2010. Os ataques tem se tornado mais seletivos ecomplexos e não tem visado apenas usuários comuns,mas executivos de grandes corporações, chefes militares e governantes.Com o aumento da capacidade de navegação e do
uso dos smartphones, os códigos maliciosos começaram a serem distribuídos diretamente pelos sites eaplicativos. As vulnerabilidades presentes nas aplicações e browsers e a falta de conhecimento do usuáriofacilitam esse trabalho. Praticamente toda semana épublicada uma matéria com o aumento dos códigosmaliciosos desenvolvidos para o sistema Android enão faltam artigos do mesmo problema para o iOS.
|16
Cyb
erWararealidade
quevo
cêdesconhece
VOCÊ também faz parte do jogo!!! A Internet se tornou umverdadeiro tabuleiro de Xadrez. As nações são Reis e Rainhas, empresas de segurança são bispos e cavalos, analistasde TI as Torres e os usuários são os Peões!!!
“Não sei como será a Terceira Guerra Mundial, mas poderei vos dizer como será a Quarta: com paus e pedras.”
Albert Einstein
Março 2012 • segurancadigital.info
2006 crackers russos causaram a indisponibilidadede vários sites e serviços da Estônia. Os ataques ocorreram em represália à remoção de uma estátua debronze de um soldado da 2ª Guerra Mundial na cidade de Tallinn. A estátua era em homenagem ao triunfosoviético sobre as tropas nazistas. Os ataques foramtão intensos e por um período tão longo que especialistas da OTAN, União Européia e EUA se reuniramem Tallinn a fim de ajudar e tentar encontrar uma forma de lidar de forma efetiva com os ataques. Diversos outros países foram envolvidos nesse conflito e"felizmente" em 10 de maio de 2007 os ataques foram interrompidos abruptamente, isso só ocorreu porque o tempo de uso dos servidores "alugados" peloscrackers havia se esgotado.2007 o governo chinês foi acusado de autorizar
seus militares a tentarem invadir os sistemas americano, alemão, do reino unido e francês. De acordo comesses governos a finalidade do ataque chinês era oroubo de informações confidenciais militares. Por suavez, o governo chinês afirmou que é totalmente contra qualquer tipo de ataques do tipo e que também eravítima do mesmo tipo de ataque e que seus sistemasforam bastante prejudicados com tais atos.2008, a Rússia foi acusada pela Geórgia de atacar
virtualmente seus sistemas enquanto o exército russoinvadia o país. Infraestruturas tecnológicas da Geórgia foram indisponibilizados. O governo russo negouqualquer acusação e "oficialmente" divulgou que osataques foram gerados por grupos crackers.2010 o governo Iraniano acusa os EUA e Israel de
plantar um vírus com código extremamente detalhadoe eficiente nos sistemas de energia nuclear do país ecausar o sua interrupção. O vírus em questão é conhecido como Stuxnet, sua disseminação é global eEUA, Inglaterra, Alemanha, Australia, entre outros,já informaram que também tiveram seus sistemas infectados por ele. O que o torna tão especial e perigoso é o fato dele ter sido desenvolvido para atacar umsistema desenvolvido especificamente pela Siemens(SCADA) que é utilizado para controle de equipamentos de tubulação de petróleo, centrais elétricas, aeroportos, navios, etc. No caso em questão, ascentrífugas de enriquecimento iranianas é que foramafetadas, mas nada impede que danos maiores possam ser causados, como a abertura ou fechamento dedistribuição de gás ou água provocando danos físicos.Em 2010 foi divulgado pelo governo Norte Ameri
cano um relatório de Estratégia Internacional para oCyberespaço (ISC na sigla em Inglês) aonde é sugeri
do que o tratado de agressões da OTAN vale tambémpara o mundo virtual. “Todos os estados possuem umdireito inerente de autodefesa, e reconhecemos quecertos atos hostis realizados através do ciberespaçopodem obrigar ações no âmbito dos compromissosque temos com nossos parceiros de tratados militares”, afirma o documento. “Atividades realizadas nociberespaço têm consequências para a nossa vida noespaço físico, e temos de trabalhar para a construçãodo estado de direito.” O relatório cita nominalmentea OTAN como exemplo desses tratados militares. Isso se deve ao fato de a maioria dos tratados e das leisnão abrangerem a Internet como "campo de batalha".Nos últimos anos os ataques DDoS tem se intensi
ficado e passaram a ser utilizados não apenas por“hacktivistas” mas por nações. O grupo Anonymousse tornou mundialmente conhecido ao causar a indisponibilidade de sites financeiros por retirarem seuspatrocínios e bloqueio de contas do Wikileaks. Visando aumentar o seu poderio, começou a distribuir umaplicativo DDoS para usuários que apoiem a “causa”.O mesmo grupo está agora alertando a seus “usuá
rios” sobre alguns links aonde distribuíam a versãodo seu aplicativo de ataque DDoS. Os links foram alterados por “crackers” para baixar uma versão doSlowloris modificado que contém o Trojan Zeus.Zeus é responsável pelo roubo de dados pessoais ebancários nos computadores aonde está instalado e éconsiderado o TROJAN com maior número de infecções existentes atualmente.
A CyberWar já é uma realidade, a todo instante
ARTIGO Segurança Digital
|17
Figura 1 Grupo de hacktivistas que se especializou
em atacar grandes organizações (Interpol, CIA, etc).
Março 2012 • segurancadigital.info
milhares de ataques são disparados e a dificuldadeem identificar a sua origem ou de punir os responsáveis é o maior facilitador para essa propagação.Diferentemente de um ataque presencial, a INTER
NET nos proporciona estar em contato com X pessoas e Y locais do mundo ao mesmo tempo. Com umpouco de conhecimento e disposição é possível fazerum grande estrago a alguém ou alguma empresa e atémesmo causar incidentes internacionais. Afinal, nãohá como provar que foi um indivíduo de forma independente que invadiu a NASA e não o governo Chinês. Assim como não há como provar quem tirou doar o site do partido Comunista. Mesmo que seja aceito que o ataque originado não foi militar, o porque doindivíduo não ter sido identificado e capturado sempre levantará suspeitas de proteção e apoio de cadanação.Um estudo realizado pela empresa de segurança
Northrop Grumman, aponta o aumento da preocupação Norte Americana com o avanço tecnológico chinês. A grande complexidade e distribuição doscomponentes microeletrônicos e de telecomunicaçõesdificulta, e até impossibilita, que as empresas possamatestar a autenticidade desses componentes. Firmwares podem conter acessos secretos em seus códigos eum serviço de inteligência pode utilizar desse recursopara invadir os sistemas sem que seja identificado. OGoverno Chinês tem investido fortemente em pesquisas tecnológicas e de segurança nas Universidades dopaís. "Os líderes chineses adotaram a ideia de que para vencer uma guerra é preciso ter controle externodas informações e sistemas, geralmente de forma preventiva". "Comandantes chineses podem escolherusar o acesso profundo às redes norteamericanas delogística e controlar os dados para coletar informações de alto valor em tempo real ou corromper os dados sem destruir redes ou hardwares", diz o estudo.A prova de que mesmo aqui no Brasil já há preocu
pação quanto a Cyberwar é que o Exército brasileirofinalizou recentemente duas licitações para comprasde softwares de antivírus e simulação e ataques virtuais que serão desenvolvidos exclusivamente por empresas brasileiras. O investimento de cerca de R$6.000.000,00 é parte da estratégia militar para alcançar um alto nível tecnológico até 2015.Durante o período da Guerra Fria (capitalismo Nor
te Americano e socialismo/comunismo Soviético), omundo viveu momentos de tensão durante alguns dias com o iminente início de uma 3ª Guerra Mundialcom armamentos nucleares, alguns especialistas di
zem que uma guerra tecnológica pode ter danos superiores a uma guerra nuclear.Se a 3ª Guerra Mundial ocorrer, as nações com
maior poderio tecnológico são as que mais sofrerãocom uma possível guerra por possuírem uma maiordependência da tecnologia, porém são elas mesmasque estão promovendo essa disputa “tecno armamentista”.
ARTIGO Segurança Digital
|18
Julio Carvalho
Graduado em Redes de Computadorese Pós Graduado em Auditoria e Segurança de Sistemas pela UniversidadeEstácio de Sá, Especialista em CódigosMaliciosos e Sistemas de Correio Eletrônico, com mais de 10 anos de experiência em Infraestrutura e Segurança deambientes, com certificações em produtos da linha Lotus/IBM e Trend Micro.
Linkedin: http://br.linkedin.com/in/julioinfoEmail: julioinfo@gmail.com
SSttuuxxnneettO Stuxnet foi o primeiro worm de computador
a incluir um rootkit de CLP. Também é o primeiroworm conhecido a ter como alvo infraestrutura industrial crítica. Diversas mídias caracterizaram oStuxnet como um vírus de computador sofisticadoe complexo.
MMoobbiilliiddaaddeeNão é de agora que os dispositivos móveis tem
ganho a atenção da mídia e principalmente dosusuários. Cada vez menores e com mais recursos evelocidade de processamento, eles tem se tornadouma opção vantajosa para ter acesso a informações digitais. A tendência de crescimento é exponencial e a possibilidade de ter acesso ao ambientee as informações empresariais faz com que muitaspessoas comecem a têlos como “computador”principal em detrimento do desktops e notebooks.Este é um trecho do artigo de Luiz Felipe 3ª edição novembro da Revista Segurança Digital. Cadavez mais utilizados e presentes no diaadia os dispositivos moveis agora estão na mira dos criminosos virtuais, então não pense que só por ser um"celular/smartphone" você esta seguro ao utilizálo.
Março 2012 • segurancadigital.info
Logo que a 4ª edição da Revista Segurança Digital foi lançada, em janeiro passado, fui surpreendida com pedidos de leitores para elaboração de
um artigo sobre o profissional de Direito Digital, os caminhos que devem ser trilhados, as dificuldades encontra
das e a obtenção de informações a respeito.
O domínio do conhecimento no assunto ainda passa longe do alcance da grande maioria dos profissionais, isso ocorre por alguns motivos:O primeiro deles, é o acesso acadêmico à matéria.
A grande maioria dos cursos de Direito não aborda adisciplina do Direito Eletrônico, ou preferencialmente chamado por algums por Direito de Informática,ou por outros como Direito Digital, Direito da Sociedade da Informação, Direito da Tecnologia da Informação, dentre outras denominações.Além disso, a produção doutrinária, que já foi es
cassa, tem crescido bastante no tocante à matéria,mas ainda não percebese uma formação doutrináriauniforme, que fundamente a existência ou criação deum novo ramo do Direito.Existe, sim, influência das tecnologias em diver
sos ramos clássicos do Direito. Porém, ainda não estáconsolidada a doutrina que trate de maneira uniformea matéria do “Direito material Eletrônico” e do “Direito Processual Eletrônico”, o que não significa di
zer que para a matéria ser reconhecida como umramo autônomo do Direito, deva ser estudada seguindo a mesma linha de pesquisa que as outras matériastradicionais seguem.A verdade é que reconhecendo ou não como ramo
autônomo do Direito, o Direito Eletrônico encontrase tão intrinsecamente ligado a outros ramos do Direito, que não estudálo com mais profundidade culminaria na negligência de considerações essenciaisao Direito e aos ramos do Direito atingidos pelas tecnologias, o Direito Penal e o Direito de Autor comoexemplos.Enquanto profissional que abraçou a matéria do
Direito Eletrônico no desempenho das atividades laborais diárias, reconheço inúmeras dificuldades, dentre elas a busca em desenvolver a matéria na regiãoNordeste do Brasil, que já é nacionalmente reconhecida como pólo tecnológico, com suas empresas deTecnologia da Informação. O grande desafio é trazereste reconhecimento também para os profissionaisque atuam nas questões que envolvem Direito e Tecnologia na região.São Paulo e Rio de Janeiro já contam com grandes
bancas de advogados especializados na influênciadas tecnologias sobre o Direito.Mas o que de fato constitui o diferencial destes
|19
Direito
&TI–osdesafiosdo“n
ovo
profissionaldodireito”em
2012
O que você precisa saber paradar o pontapé inicial na suacarreira de advogado atuantecom as questões de Tecnologiada Informação
CARREIRAS:DIREITO & TI
Março 2012 • segurancadigital.info
profissionais que se dedicam ao estudo de uma matéria tão pouco divulgada diante de tantas outras oportunidades que o Direito possui? A possibilidade deinovar e de fazer parte da criação de uma doutrina nacional sobre o assunto.Poucas são as áreas do Direito que ainda possuem
espaço para absorverem tal nível de inovação.Ao mesmo tempo, inovação exige um perfil empre
endedor do profissional, que aposta num ramo aindaem desenvolvimento no mercado nacional, e que semostra bastante promissor.Por isso, aproveitando a oportunidade que tenho
para falar de minhas próprias experiências no ramo,indico que os interessados busquem, além da leituradoutrinária, essencial à formação científica do pesquisador, cursos especializados na área do Direito e Tecnologia da Informação.Estes cursos acabam por dar o impulso inicial na
formação científica do profissional, estabelecendocontato com professores que além de doutrinadoresno assunto, são profissionais de sucesso da área, alémde pôr o aluno em contato com o que há de produçãodoutrinária no assunto.
Dentre os cursos especializados em Direito e Tecnologia da Informação existentes no Brasil, seguemalgumas sugestões:
ARTIGO Segurança Digital
|20
Lígia Barroso
Advogada, atuante em Direito Eletrônico ePropriedade Intelectual. Mestranda em Direito da Propriedade Intelectual na Universidade de Lisboa (FDUL), Especialista emDireito Eletrônico e Tecnologia da Informação pelo Centro Universitário da Grande Dourados (UNIGRAN).
Email: ligiabarroso@hotmail.comTwitter: @ligiaabarroso
Especialização em Direito e Tecnologia da Informação – Escola Superior da Advocacia ESA –SP (mais informações em:http://esaoabsp.edu.br/Curso.aspx?Cur=229)
Curso de Curta Duração em Direito da Tecnologia da Informação – Universidade de FortalezaUNIFOR (mais informações em:http://www.unifor.br/index.php?option=com_content&view=article&id=3385&Itemid=1408)
MBA em Direito Eletrônico – Escola Paulistade Direito (mais informações em:http://www.epd.edu.br/cursos/posgraduacao/mbaemdireitoeletronico)
Especialização em Direito Eletrônico e Inteligência Cibernética – Faculdade Especializada emDireito FADISP (mais informações em:http://www.fadisp.com.br/posgraduacao.php?pagina=cursos_direito_eletronico)
Pós Graduação em Direito da Tecnologia da Informação – Fundação Getúlio Vargas FGV (maisinformações em:http://www5.fgv.br/fgvonline/InternaInternaCurso.aspx?prod_cd=DTIEAD_00)
Mestrado Científico em Direito Intelectual –Universidade de Lisboa FDUL (mais informaçõesem:http://www.fd.ul.pt/CursosAlunos/MestradoCientifico/201112/DireitoIntelectual.aspx)
Mestrado em Direito das Telecomunicações eTecnologia da Informação – Universidad CarlosIII de Madrid (mais informações em:http://www.uc3m.es/portal/page/portal/postgrado_mast_doct/masters/Master_en_Derecho_de_las_Telecomunicaciones_y_TI)
Para os curiosos do assunto e que desejam lermais a respeito do assunto Segurança e Internet,segue link com uma lista de vários blogs especializados no assunto, fornecidos pelo leitor Moises deOliveira Cassanti:http://sseguranca.blogspot.com/2011_10_01_archive.html
Março 2012 • segurancadigital.info
IInnttrroodduuççããooO DNS é um dos principais serviços de infraestru
tura da internet. Entretanto, na época que foi criadonão havia uma preocupação com a segurança, tornandoo vulnerável a vários tipos de ataques, que usamdados falsos para redirecionar o tráfego da Internet para sites fraudulentos e endereços indesejados. A extensão DNSSEC provê a segurança necessária paramitigar esses ataques.
OO qquuee éé DDNNSS??Antes, precisamos conhecer o DNS (Domain Na
me System). É um sistema usado em redes TCP/IP para a organização e identificação de domínios. Elefornece um nome para um ou mais endereços IP deum domínio, facilitando a memorização de URLs eendereços de email. Sem o DNS, seria necessário digitar números para cada visita a um site, pois os computadores e outros dispositivos usam endereços IPpara se comunicarem e se identificarem na rede mundial.O DNS armazena um registro de cada domínio
existente, definindo o IP (ou vários IP’s) do servidorde hospedagem. Por questões de segurança e tambémdevido ao crescente tráfego da internet, decidiuseque a estrutura seria hierárquica e descentralizada(distribuída globalmente). Não há somente um único
ponto central com as informações de todos dos domínios do planeta, o que facilitaria ataques direcionadosvisando um “apagão” da internet.A descoberta dos servidores que respondem por
um domínio é chamado de resolução do nome ou resolução de domínio. Resumidamente iniciase porum servidor DNS primário que aponta outro secundário e assim sucessivamente.
SSeerrvviiddoorr rraaiizzO servidor DNS que está no topo da internet é o
servidor raiz, conhecido também como root server.Possui uma pequena tabela que indica qual DNS seráresponsável pela resolução dos domínios para cadaextensão de domínio (Top Level Domain) diferente.Os Top Level Domains são de dois tipos: gTLDs(Generic Top Level Domains – domínios genéricoscomo .edu, .com, .org, etc.. ) e ccTLDs (Country Code Top Level Domains – extensões de domínios administrados pelos países). Como exemplo deccTLDs, a Registro.br responde pelos domínios .br,já para gTLDs podemos citar a Verisign como responsável pelos domínios .comExistem 13 servidores DNS raiz lógicos (conheci
do por uma letra do alfabeto, de A a M), e centenasde servidores físicos no mundo todo (inclusive noBrasil) controlados por várias empresas e organiza
|21
DNSSEC-Oantídoto
contraosataques
DNS
Março 2012 • segurancadigital.info
DDNNSSSSEECCInfelizmente o sistema DNS apresenta determina
das vulnerabilidades usadas principalmente em ataques de phishing, desviando a navegação para umdomínio maliciososem o consentimento(e o conhecimento)do usuário. Os doisexemplos mais recorrentes de ataquessão o DNS Spoofing(também conhecidocomo DNS Cachepoisoning) e o ManInTheMiddle. Umdos maiores problemas existentes é queesses ataques são extremamente difíceisde serem detectadose na pratica impossível de serem prevenidos.O DNSSEC (Domain Name System Security Ex
tension ) é uma extensão criada pelo IETF (InternetEngineering Task Force) que adiciona recursos de segurança ao DNS com o intuito de tornar esses ataques
detectáveis, validando os dados e garantindo a origem dasinformações.Note no gráfico
abaixo que não é deagora que essa extensão vem sido discutida. Em 2010 oDNSSEC foi implementado nos rootservers. Alguns domínios chave como.gov, .org, .edu e .netpassaram a estar aptos para utilizar a extensão. Uma boanotícia é que a Registro.br já iniciou a implementação nosdomínios jus.br e
b.br. Para esses, o DNSSEC é de uso obrigatório, para os demais ainda é opcional. Você pode testar o usodigitando a URL www.seubanco.b.br
ARTIGO Segurança Digital
|22
ções como a Verisign e a ICANN. A figura abaixo mostra a localização deles ao redor do planeta.
Localização dos Root Servers no mundo. Photo by Google Maps. Taken
FROM www.rootservers.org
O DNSSEC utiliza a famosa tecnologia de criptografia assimétrica que utiliza um par de chaves, umapública e uma privada. Cada zona retorna as consul
Histórico do DNSSEC. Photo by VeriSign.
Março 2012 • segurancadigital.info
ARTIGO Segurança Digital
|23
tas DNS com assinaturas digitais. A confiança do cliente nessas assinaturas é baseada numa cadeia de confiança (chain of trust) estabelecida através da raiz atéo topo da hierarquia. Assim, é possível que toda a cadeia com acesso a chave pública verifique a integridade dos dados transferidos. A figura a seguirexemplifica melhor o funcionamento:
O DNSSEC funciona melhor quando implementado em toda a cadeia. Embora a infraestrutura do DNSjá esteja preparada, a adoção ao DNSSEC tem sidolenta pelas ISP’s e empresas. No momento, na área deecommerce somente o PayPal já começou a assinarseus domínios.A Verisign estima que há somente 5.500 domínios
.com assinados e 2.000 domínios .net de um total de112 milhões de domínios registrados, o que é muitopouco. Nem mesmo as agências americanas aderiramtotalmente ao DNSSEC..É possível testar se determinado site já usa o DNS
SEC usando o DNSSEC Analyzer da Verisignhttp://dnssecdebugger.verisignlabs.com/
RReeffeerrêênncciiaass
http://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
http://www.isc.org/software/bind/dnssec
http://www.verisigninc.com/pt_BR/whyverisign/innovationinitiatives/dnssec/overview/index.xhtml?loc=pt_BR
http://registro.br/suporte/faq/faq8.html
http://webinsider.uol.com.br/2007/10/13/oqueednsednssecbemexplicadinho/
http://www.networkworld.com/news/2012/011812dnssecoutlook255033.html?page=1
Como funciona o DNSSEC. Photo by F5 Networks.
Luiz Felipe Ferreira (Editor Chefe)
No mercado da TI há 9 anos, trabalhandocom Segurança da Informação desde2006. Atualmente trabalha no setor de ITSecurity da TV Globo. Graduado emProcessamento de Dados pela UniverCidade e com MBA de Gestão de Projetose Negócios de TI pela UERJ. Possui certificações ITIL, VCP, LPI Level 1 eMCP.
Email: lfferreira@gmail.comBlog: br.linkedin.com/in/luizfelipeferreiraTwitter: @lfferreiras
Março 2012 • segurancadigital.info
Janeiro 2012 • segurancadigital.info|01
11.. IInntt rroodduuççããooAmaioria das organizações de médio e grande por
te possui uma grande quantidade de informações críticas, sensíveis e até mesmo confidenciaisarmazenadas em bancos de dados. Apesar de os servidores de banco de dados estarem geralmente na redeinterna destas organizações, protegidos por firewallse outros mecanismos de defesa, muitas aplicaçõesacessíveis pela Internet possuem acesso a estes servidores. Estas aplicações recebem entradas de dados eas utilizam para realizar consultas nos servidores deBD. Quando a aplicação não valida ou trata corretamente a entrada de dados, um atacante pode conseguir modificar as consultas realizadas pela aplicaçãopara realizar diversas atividades maliciosas, incluindoburlar o controle de acesso, obter dados sensíveis eaté mesmo alterar dados armazenados. Este tipo defragilidade em aplicação é conhecido como “Injection”, e sem dúvida as falhas do tipo “SQL Injection”estão entre as mais divulgadas e exploradas.Vulnerabilidades de “SQL Injection” têm sido am
plamente exploradas há alguns anos por atacantes erecebido há muito tempo destaque em sites, livros erevistas de segurança. O que muitos profissionais deTI e até mesmo alguns de segurança desconhecem éque as falhas de “Injection”, ou de injeção de código,não se resumem a SQL, podendo existir em diversos
protocolos e linguagens de programação. Só para citar alguns exemplos mais documentados existem:“XPath Injection”, “LDAP Injection”, “SOAP Injection” e até mesmo “SMTP Injection”.Neste artigo, iremos abordar as falhas de “LDAP
Injection” devido à criticidade que este tipo de vulnerabilidade está ganhando nos sistemas corporativos.As organizações estão cada vez mais utilizando osserviços LDAP para diversos propósitos, funcionando como um repositório central de informações.Existe, especialmente, uma forte tendência do uso deserviço LDAP para autenticação de usuários e parasuportar ambientes com “single signon”. Devido aocrescente uso de LDAP para autenticação e para armazenar outros tipos de dados, provavelmente os ataques utilizando LDAP Injection tenderão a aumentar.Para que os profissionais de TI e de segurança estejam devidamente preparados para evitar este tipo defragilidade e se proteger deste tipo de ataque é vitalentender como os ataques de LDAP Injection funcionam.
22.. CCoommoo FFuunncc iioonnaa oo AAttaaqquueeO LDAP (Lightweight Directory Access Protocol)
é um protocolo para realizar consultas e modificações em serviços de diretório através do protocoloTCP/IP. Os serviços de diretório LDAP armazenam e
|25
LDAP
Injection
–ComoFu
ncio-
naoAtaqueeComose
Proteger
Março 2012 • segurancadigital.info
organizam informações que possuem atributos em comum. A estrutura de armazenamento utiliza o conceito de árvore de entradas de diretório. Nesta estruturahierárquica, as operações de leitura são realizadascom maior velocidade com prejuízo para as operações de escrita. Baseiase em orientação a objetos, noqual cada entrada no serviço de diretório correspondea uma instância de um objeto e precisa compartilharos mesmos tipos de atributos deste objeto.Ao se utilizar LDAP, a operação mais comum é a
consulta por entrada de diretório através de filtros. ARFC 4515 define os filtros utilizados no LDAP, quepodem incluir, especialmente, expressões lógicas(AND &, OR |, NOT !) e tipos de filtros (igual =,aprox. ~=, maior ou igual >=, menor ou igual =<),bem como o caractere * para aceitar múltiplos caracteres em um filtro. A RFC 4526 define as strings (&) e(|) como verdadeiro (TRUE) e (FALSE), respectivamente. Caso ainda não esteja familiarizado, veja umexemplo básico de consulta LDAP:
[a query acima, por exemplo, seria utilizada para validar um usuário e senha]
O conceito básico de uma exploração de LDAP Injection é manipular os parâmetros enviados pelo cliente para a aplicação, os quais serão utilizados paraconstruir a consulta (query) LDAP. Quando a aplicação é vulnerável, a entrada de dado não sofre validação ou tratamento para impedir que os dados entradospossam modificar a estrutura ou lógica da queryLDAP. Os estudos de caso nos próximos itens irãoexemplificar este tipo de ataque.É importante destacar que as diversas implementa
ções LDAP validam e tratam a sintaxe LDAP de forma ligeiramente diferente. Algumas implementaçõestoleram até mesmo sintaxes inválidas. Isto influenciadiretamente nos ataques de LDAP Injection e o atacante precisa levar isto em consideração para ter sucesso. Isto significa que uma sintaxe LDAP quefunciona em uma aplicação pode não ser funcionalem outra aplicação vulnerável.
33.. EEssttuuddoo ddee CCaassoo 11:: MMaanniippuu llaannddoo PPeessqquuiissaa ddee UUssuuáárr iiooConsidere uma aplicação que permite digitar o no
me de um único usuário (ex. MARCOS) e retorna somente as seguintes informações: nome do usuário,
número de telefone e departamento. Veja como poderia ser esta requisição LDAP:
O resultado desta query poderia retornar as seguintesinformações:
Imagine que o atacante deseja obter a senha dousuário “MARCOS”. Ele poderia utilizar o seguinteataque: MARCOS); userPassword,cn;. Isto resultaria na seguinte requisição LDAP:
O atacante pode melhorar o ataque e obter umalistagem das senhas de todos os usuários da aplicação: *); userPassword,mail,cn;.
44.. EEssttuuddoo ddee CCaassoo 22:: BBuurr llaannddoo AAuutteenntt ii ccaaççããooConsidere uma aplicação que realiza autenticação
em uma base LDAP. Esta aplicação solicita informação de usuário e senha para autenticação, construindoa seguinte query LDAP:
Um atacante poderia inserir os seguintes dados:
A query LDAP final seria:
ARTIGO Segurança Digital
|26
(&(cn=admin)(userPassword=senha))
(givenName=MARCOS);cn,telephoneNumber,department
(givenName=MARCOS);userPassword,cn;);cn,telephoneNumber,department
(givenName=*);userPassword,mail,cn;);cn,telephoneNumber,department
(&(uid=username)(userPassword=pwd))
Usuário: admin)(&)Senha: qualquercoisa
(&(uid= admin)(&))(userPassword=qualquercoisa))
Março 2012 • segurancadigital.info
Apenas o primeiro filtro será processado e como aconstante (&) significa absolutamente verdadeiro, esta query sempre será verdadeira. Neste caso, o atacante poderia se autenticar como o usuário “admin” naaplicação.Existem outras formas de realizar ataques para bur
lar autenticação. Veja outro exemplo:
A query LDAP final seria:
Esta query terá uma sintaxe correta e será sempreverdadeira, permitindo que o atacante se autentiquecomo o primeiro usuário da árvore LDAP.
55.. EEssttuuddoo ddee CCaassoo 33:: AAcceessssaannddoo DDooccuummeennttooss RReesstt rr ii ttoossImagine uma aplicação que oferece acesso a docu
mentos de diferentes departamentos da organização eque permite apenas consulta de documentos classificados como “públicos” para usuários com permissão“public” e permite consulta de documentos classificados como “confidenciais” para usuários com permissão “confidential”. Por exemplo, a seguinte URL éutilizada para acessar documentos:
Considere que esta aplicação utiliza a seguintequery LDAP para listar os documentos de acordocom a permissão de acesso:
Para acessar os documentos confidenciais, o atacante poderia colocar os seguintes dados na URL:finance)(security_level=*))(&(directory=financeIsto resultaria na seguinte query LDAP:
O servidor LDAP processaria apenas o primeirofiltro, ignorando o segundo. Neste caso, apenas o se
guinte filtro seria processado: (&(directory= finance)(security_level=*)). Assim, o atacante conseguiriaacessar todos os documentos financeiros, incluindoos marcados como “confidenciais”.
66.. EEssttuuddoo ddee CCaassoo 44:: EEffeettuuaannddoo BBll iinnddLLDDAAPP IInn jjeecctt iioonnMuitas vezes a aplicação não retorna mensagens
de erro detalhadas mostrando a sintaxe LDAP emuso. Nestes casos, o atacante precisa utilizar técnicasde inferência para determinar a existência de atributos e valores. Considere uma aplicação que permitelistar informações de ativos de TI da organização:
A seguinte query seria utilizada pela aplicação:
Após realizar esta consulta LDAP, a aplicação retorna informações sobre o servidor como endereço IPe administrador responsável.
Imagine que um atacante estivesse interessado emdescobrir atributos adicionais para obter mais informações sobre o servidor, que não são reveladas pelaaplicação, como, por exemplo, sistema operacional elocalização física. Neste caso, o atacante teria que fazer testes de inferência para descobrir nomes de atributos adicionais. Como um teste inicial, o seguintevalor poderia ser colocado no parâmetro “idserver”:sysxpto)(invalido=*). A seguinte consulta LDAP seria formada:
A aplicação provavelmente apresentaria uma página sem informações ou apresentaria alguma mensagem de erro. Em seguida, o atacante poderia testarum atributo mais provável: sysxpto)(ipaddress=*),para formar a seguinte consulta:
ARTIGO Segurança Digital
|27
Usuário: *)(uid=*))(|(uid=*Senha: qualquercoisa
(&(uid=*)(uid=*))(|(uid=*)(userPassword=qualquercoisa))
http://appvulneravel.intranet.com/lista_documentos.aspx?caminho=finance
(&(directory=finance)(security_level=public))
(&(directory=finance)(security_level=*))(&(directory=finance)(security_level=public))
http://appvulneravel.intranet.com/lista_servidores.aspx?idserver=sysxpto
(&(idserver=sysxpto)(objectclass=server))
(&(idserver=sysxpto)(invalido=*))(objectclass=server))
(&(idserver=sysxpto)(ipaddress=*))(objectclass=server))
Março 2012 • segurancadigital.info
Assumindo que o nome de atributo ipaddress existe, a aplicação retornaria normalmente as informações sobre o servidor sysxpto. Para descobriratributos adicionais, o atacante poderia utilizar umscript que automatize tentativas utilizando um dicionário de possíveis atributos, interpretando a respostacomo VERDADEIRA quando a aplicação retorna informações e FALSA quando a aplicação não retornainformações.
E o que dizer de valores de atributos? Um atacantepode extrair valores através de buscas por conjuntosde caracteres (pode até mesmo utilizar a tabela ASCII). Imagine que o atacante deseja extrair o valor doatributo location do servidor sysxpto. Um script poderia começar testando a primeira letra do atributo fazendo uma busca alfabética:
O mesmo teste anterior se aplica aqui. Quando aaplicação retorna uma resposta com informações, oscript determina que o caractere testado está correto,e quando a aplicação não retorna informação, o scriptdetermina que precisa continuar a busca. Veja agora oexemplo abaixo:
Se o script receber uma resposta com informações,a localização certamente começa com “ri” e a buscapode continuar a partir da 3ª posição. É possível utilizar uma técnica conhecida como “charset reduction”para aumentar a velocidade de obtenção de valores.Por exemplo, o seguinte teste pode ser utilizado paraverificar se a letra “j” existe em alguma posição no
atributo location:
Estes exemplos não deixam dúvida de que atacantes não precisam necessariamente de mensagens deerro ou de informações detalhadas da aplicação paraextrair informações através de LDAP Injection.
77.. CCoommoo EEvv ii ttaarrPara evitar falhas de LDAP Injection, devese tra
tar todas as entradas de dados da aplicação, especialmente, as entradas de dados que serão utilizadas emconsultas LDAP. É importante destacar que a melhorabordagem de validação de entrada de dados é aabordagem “whitelist”, onde apenas os tipos de dados estritamente necessários são aceitos. Isto podeser feito através de expressões regulares de negaçãopor padrão. Por exemplo, podese aceitar apenas valores numéricos ou alfanuméricos em uma entrada dedado.Devese, sempre, validar e tratar a entrada de da
dos no lado servidor (exs. código .NET, Java ouPHP), não apenas no lado cliente (ex. através de JavaScript). Em especial, parênteses )(, asterisco *,operadores lógicos (&, |, !) e operadores relacionais(=, ~=, >=, =<) devem ser rejeitados ou tratados pelaaplicação. Em alguns casos, pode ser necessário incluir estes caracteres em consultas LDAP. Se este foro caso, utilize a técnica de “escaping” para evitar queo interpretador LDAP considere estes caracteres como parte da query LDAP. O OWASP (Open Web Application Security Project) mostra como realizar“escaping” destes caracteres em Java:
Como medida de proteção adicional, é importanterealizar configurações de controle de acesso no servidor LDAP. A aplicação web deve ter o mínimo deprivilégio requerido ao se conectar no servidorLDAP e permissão de escrita deve ser concedida apenas quando estritamente necessário.
ARTIGO Segurança Digital
|28
(&(idserver=sysxpto)(location=*))(objectclass=server))(&(idserver=sysxpto)(system=*))(objectclass=server))(&(idserver= sysxpto)(os=*))(objectclass=server))...
(&(idserver=sysxpto)(location=a*))(objectclass=server))(&(idserver=sysxpto)(location=b*))(objectclass=server))(&(idserver=sysxpto)(location=c*))(objectclass=server))…
(&(idserver=sysxpto)(location=ri*))(objectclass=server))
(&(idserver=sysxpto)(location=*j*))(objectclass=server))
https://www.owasp.org/index.php/Preventing_LDAP_Injection_in_Java
Março 2012 • segurancadigital.info
ARTIGO Segurança Digital
|29
LDAP Injection & Blind LDAP Injection in Web Applications Chema Alonso, Rodolfo Bordón,Antonio Guzmán y Marta Beltrán
LDAP Injection – Are your web applications vulnerable? – SPI Dynamics
The Web Application Hacker’s Handbook – Discovering and Exploiting Security Flaws – DafyddStuttard and Marcus Pinto
OWASP (The Open Web Application Security Project) Testing for LDAP Injection
RFC 4515 Lightweight Directory Access Protocol (LDAP): String Representation of SearchFilters
RFC 4526 Lightweight Directory Access Protocol (LDAP) Absolute True and False Filters
88.. RReeffeerrêênncc iiaass
Bruno Cesar Moreira de Souza
Sócio e Diretor Técnico da Able Security, CISSP desde Jan/2007,OSCP, GCFE, Bacharel em Sistemas de Informação pela PUCRio,com mais de 11 anos de experiênciaem segurança da informação, especialista em testes de intrusão e perí
cia forense computacional. Tem prestado consultoria paraorganizações de diversos segmentos, no Brasil e no ReinoUnido.
Email: bruno.souza@ablesecurity.com.brSite: http://www.ablesecurity.com.br
Março 2012 • segurancadigital.info
Se você é ligado em seriados policiais, filmes envolvendo investigações ou coisa parecida, até mesmoo CSI já deve ter visto profissionais fazendo análi
ses e outros procedimentos minuciosos em busca de informações e extraindo dados importantes que nem seimaginava que pudesse encontrar, essa extraordinária ciência é chamada de pericia. Apesar de muita coisa não passar de ficção, há alguns casos espelhados na vida real.Mas sim vamos sair um pouco da ficção e entrar
na realidade dos fatos, bem até então dei a ideia doque é termo pericia, como você deve saber existemvários tipos de pericias e nesse caso a ser abordadoaqui é a pericia digital ou como é conhecida tambémde forense computacional onde esta se faz cada vezmais conhecida e de suma importância devido o aumento de crimes praticados por meio do uso dos recursos computacionais pela própria disponibilidadede uma conexão à Internet e o uso de programas decomputador, além do suposto anonimato encontrado,em muitos casos, é suficiente para permitir a qualquer indivíduo experimentar variadas condutas criminosas que você certamente já está cansado deobservar pela mídia. Dentre os casos mais comuns estão roubo de informações confidenciais, ataque de negação de serviços, espionagem, transmissão de fotose vídeos de pedofilia entre outros.Portanto assim como no caso de crimes comuns, o
combate aos crimes cibernéticos requer a existênciade evidências e provas de sua existência, que permitem o pleno convencimento do suposto ato e com isso possibilitando punição das condutas criminosas. Apartir disso surgi a figura do profissional em periciadigital sendo responsável por descobrir evidênciasem sistemas computacionais, em periféricos e dispositivos de armazenamento.
Pois bem para realizar essa missão eles fazem usode diversos equipamentos especiais.Conheça agora um pouco do muito que esses pro
fissionais são capazes de fazer. Bemvindos à políciada era digital.Você acha que ao apagar qualquer informação co
mo fotos, conversas do chat, páginas acessadas na internet ou formatar o HD estão definitivamenteexcluídos e as mensagens confidenciais do celular etambém esconder ou proteger com senha as informações, você pensa que ninguém vai conseguir ter acesso. É pensando assim para pessoas comuns isso tudopode fazer parte da realidade delas. Mas para um pe
|30
Pericia
Digital:Conheçaaarteda
investigaçã
o"digital"
Em edições passadas da Revista Segurança Digital, tivemos casos reais deforense, e até mesmo um artigo referente aocurso de forense digital oferecido pela 4Linux.Recomendo a leitura das edições passadas...
QQuuaannddoo oo aassssuunnttoo éébbuussccaarr eevviiddêênncciiaass eelleessssããoo uunnss vveerrddaaddeeiirroosseexxppeerrttss nnoo aassssuunnttoo
“O perito digital será a função indispensável a justiça, tal como o advogado,pois através dele inocentes não serão
condenados e culpados não serão absolvidos.”
Perto
delesning
uém
tem
nada
aes
cond
er
Março 2012 • segurancadigital.info
rito digital as coisas são completamente diferentes,perto deles ninguém tem nada a esconder.Veja algumas das suas tarefas a seguir.Nota: Primeiramente cabe lembrar que peritos digi
tais só podem extrair dados com a autorização préviado dono ou com mandado judicial, pois caso contrário é crime.
RReeccuuppeerraaççããoo ee eexxtt rraaççããoo ddee ddaaddooss
HHDDFoi se o tempo que formatando o HD não fosse
possível recuperar nada. Na verdade um arquivo só éapagado quando uma nova informação é escrita em cima do espaço que ele ocupava antes no disco. Mas,mesmo assim, para que não seja possível recuperar astais preciosas informações, os peritos dizem que serianecessário regravar ou formatar um disco por 25 vezes, utilizando técnicas variadas.Em computadores, existe uma série de ferramentas
que ajuda na perícia digital. Umas já cumprem o papel de vários recursos durante todas as fazes dos exames forenses, possibilitando fazer um raioxcompleto da máquina como recuperação de arquivos,emails, visualização de vários formatos diferentes dearquivos, programas que já foram instalados entre outras funcionalidades. Entre as ferramentas podemos citar o Encase, FTK e o Helix.
MMeemmóórr iiaa RRAAMMA memória RAM, sabemos que ela é volátil, isto
é, todo o seu conteúdo é perdido ao desligar o computador, o que muitos não sabem é que todo tipo de informação passa por ela desde senhas digitadas, umaconversa no chat e assim por diante, mas mesmo apóso desligamento ou reiniciar a máquina ainda sim épossível ter acesso a essas informações que podem fazer toda diferença sobre o delito questionado.Entre as técnicas utilizadas para conseguir ter aces
so às informações está no que eles chamam de Dump(Cópia integral) da memória, umas das ferramentasque cumprem esse papel podese citar o ComputerOnline Forensic Evidence Extractor (COFEE).
CCeelluu llaarrEm uma pericia quando o assunto é celular exis
tem diversas ferramentas que possibilitam ter acessoa todas as informações do celular desde mensagens,fotos, músicas, agendas e até mesmo aquilo que já foiapagado pelo usuário. Umas das soluções é o Cellebri
te, que tem mais de cem cabos integrados e organizados em uma maleta, compatíveis com diversosequipamentos móveis como mostrado logo abaixo.
Outra solução é o software Mobiledit Forensicque pode realizar extrações dos dados do celular.
DDaaddooss ooccuull ttoossJá faz parte dos artifícios dos cibercriminosos ca
da vez mais experientes não deixar informações acessíveis, em muitos casos é comum o perito encontrardados criptografados ou ainda um pouco mais avançados utilizarem a técnica de esteganografia que jádei uma base sobre esse assunto na 3ª edição da revista.O processo de acesso a informações nesses tipos
de estados é possível através da análise do hexadecimal do arquivo e identificar caracteres que não correspondem a uma imagem e com base nisso descobrironde foi lançada a senha da esteganografia e entãozerala em hexadecimal e, portanto descobrindo oconteúdo oculto sem precisar descobrir qual é a senha de fato. E falando sobre senhas hoje existemmuitos programas para quebra de senha, vale lembrarquanto mais fácil for a senha mais rápida será quebrada.
ARTIGO Segurança Digital
|31
MMuuddaannddoo ddee aassssuunnttoo
Você sabia? Que todo dispositivoUSB como o pen drive possuiuma identificação única e esta informação fica registrada nos com
putadores quando é plugado. Por exemplo, se open drive foi conectado a um computador Windows e depois em um Linux, em uma análise seráencontrado a mesma identificação do pen drivenos dois equipamentos. Um exemplo de ferramenta que permite ver essa identificação é o softwareUSB Deview.
Março 2012 • segurancadigital.info
Já em contagem regressiva este artigo está chegando ao fim, aqui apenas passei um pouco do que é a pericia digital. Pela qual é uma área que está sendo bemmais procurada devido as infinitas irregularidades praticadas por meio dos recursos computacionais e a procura por profissionais capazes de encontrarem aspistas e provas necessárias para condenar os responsáveis por estes crimes é urgente.Gostou da área? Logo abaixo estão algumas instru
ções para ser um profissional. É claro que existemmuitas outras em nível de especialização e treinamento, agora nível de mestrado não, pelo menos aqui noBrasil.
NNíívveell PPóóss GGrraadduuaaççããoo LLaattoo SSeennssuu::Pericia Digital na UCB (Universidade Católica de
Brasília)Computação Forense na Mackenzie.
MMeesstt rraaddoo::Engenharia Elétrica, área de concentração: Infor
mática Forense e Segurança da Informação na UNB(Universidade de Brasília).
TTrreeiinnaammeennttoo::LegaltechConsultoria,Pericia Digital e Treinamen
to.
LLiivvrroo rreeccoommeennddaaddoo::Desvendando a Computação Forense de Pedro
Eleutério e Marcio Machado, Peritos Criminais Federais da Policia Federal. É uma ótima obra e de linguagem clara sobre o assunto.
RReeffeerrêênncc iiaassELEUTÉRIO, Pedro. M.S; MACHADO, Márcio.
P. Desvendando a computação forense. São Paulo:Novatec, 2010.
Vídeo A arte da pericia digital
ARTIGO Segurança Digital
|32
RReessuummoo
Em resumo a pericia digital ou forense computacional tem como principal objetivo identificação,preservação, coleta, interpretação e documentaçãode evidências digitais.
Evidência digital, pode ser compreendida pelainformação armazenada e/ou transmitida em formatos ou meios digitais. Na sua grande maioria o“conteúdo” de uma evidência, é frágil e volátil, oque requer à atenção de um especialista certificadoou capacitado a fim de garantir que os materiais devalor probatório possam ser efetivamente isoladose extraídos de forma correta e licitamente.
Uma pericia mal executada pode comprometertodo o processo, desde, a coleta dos dados atéapresentação e documentação destes. Paraexemplificar, vamos pegar o exemplo de umDump de memória. Um perito tem como objetivocoletar informações de uma possível cena de crimedigital, este por sua vez executa diversos softwaresna máquina antes mesmo de realizar o Dump dememória. Qual o problema disso? Este “perito”provavelmente esta “sobrescrevendo” partes damemória RAM (volátil) que poderiam conterinformações essenciais a investigação. Em umacena como esta o Dump de memória é a primeiraatividade a ser executada.
Nágila Magalhães
Graduada em Tecnologia em Redes deComputadores pela FCAT. Apaixonada portecnologia e ciberespaço, com conhecimento nas áreas de segurança computacional ecomputação forense pelo qual tenho enormeinteresse e admiração. Atualmente atuandocomo colaboradora das Revistas SegurançaDigital e Espírito Livre.
Email: nagilamagalhaes@gmail.comTwitter: @netnagila
Crescimento A pericia forense é uma área que temcrescido muito nos últimos anos. E com o surgimentocada vez mais acelerado de novas tecnologias, estecrescimento será sempre ascendente.
Março 2012 • segurancadigital.info
Resumindo em poucas palavras, o OpenStack é umsoftware para construção de nuvens públicas e privadas, de fácil implementação, massivamente es
calável e rico em recursos. Este, por sua vez, é umainiciativa do Hackspace e NASA, criada em julho de2010.As qualidades e características do OpenStack são
tantas que não dá para transcrevelas aqui neste artigo, sendo assim vou frizar alguns pontos importantesao decorrer deste conteúdo, havendo interesse bastarealizar pesquisas na web sobre a ferramenta aquiabordada.
O objetivo deste artigo não é pontuar todas as características e recursos do OpenStack, mas sim daruma visão geral do que este sistema é capaz. Sendoassim a lista anterior não pode ser considerada completa.
CCrreesscciimmeennttoo ddoo OOppeennSSttaacckk
|33
Open
Stack
soluçã
opara
construçã
odenuvens
Nunca foi tão fácil construir uma nuvem. A comunidade OpenStack é umgrupo global de desenvolvedores quetrabalha de forma colaborativa emprol de um SO baseado em códigoaberto para nuvem.
TENHA SUAPRÓPRIA NUVEM
CCaarraacctteerrííssttiiccaass ddaa ffeerrrraammeennttaa
Desenvolvimento aberto sobre uma licençaApache 2;Código fonte disponível publicamente;Comunidade aberta, processos e documentação
transparentes;Desenho modular para distribuição flexível via
API;Padrão emergente suportado por grandes ecos
sistemas;Projetado para escalar de forma econômica;
Pode ser processado em 100 ou até mesmo mil servidores, ou seja, possui uma escalonabilidade que
outros sistemas não possuem para este nível de processamento.
RReeccuurrssooss ddaa ffeerrrraammeennttaa
Controla e automatiza conjunto de recursos;Aloca recursos com eficiência;Capacita admins & usuários via portal de auto
gestão;Capacita desenvolvedores para escrever aplica
ções conscientes da nuvem via APIs.
Imagemilustrativa
Março 2012 • segurancadigital.info
Mesmo sendo um projeto relativamente “novo”, este conta atualmente com o apoio e contribuição demais de 150 empresas e dois mil e trezentos participantes. Vale ressaltar ainda que este número continuacrescendo. O OpenStack é uma opção viável, eficiente e de qualidade para a nuvem. Sem dúvida, outro fator que contribui em muito para o rápido crescimentodeste sistema, é o fato de ele ser uma solução de código aberto, isso garante uma flexibilidade incrível paraum sistema que já é considerado a melhor opção deSO para criação e gerenciamento de nuvens.
NNoottaaDurante a conferência OpenStack, que aconteceu
em Boston, a CEO da Canonical, Jane Silber, anunciou que a HewlettPackard escolheu o Ubuntu comodistribuição Linux para ser o seu sistema base de nuvem pública. Silber disse ainda que o Ubuntu é umaboa escolha para as nuvens OpenStack, devido à suaextensa flexibilidade e escalabilidade, além de ser umsistema host seguro.
RReeccuurrssooss iinnccoorrppoorraaddooss àà ppllaattaaffoorrmmaaOpenStack Compute os novos recursos incluem
um scheduler distribuído, permitindo que máquinasvirtuais sejam implantadas, um modo de rede de altadisponibilidade para evitar tempo de inatividade, seum servidor primário falhar, suporte para um novo sistema de autenticação, além de um sistema OpenStackIdentity Management (gerenciamento de identidadeOpenStack).OpenStack Object Storage um novo multiclus
ter container sync permite que um usuário escolhacontêiner por contêiner com base nos dados para replicação de clusters situado em múltiplas localizaçõesgeográficas.OpenStack Image Service Atualizações para o
serviço de imagem incluem um processo de filtrageme busca novas capacidades através da API, uma característica muito requisitada pelos prestadores de serviços que apoiam um grande número de clientesglobais.
SSuuggeessttããoo LLeeiittuurraa ssoobbrree cclloouudd......
Na edição passada da Revista Segurança Digitalfoi publicado um conteúdo intitulodo "Segurança daInformação: Previsões para 2012" onde a questãoda cloud é rapidamente revista e pontos importantessão mencionados. Recomendo fortemente a leituradeste conteúdo.
ARTIGO Segurança Digital
|34
Fábio Jânio Lima Ferreira (Diretor e Diagramador)
Analista de suporte técnico, administrador de redes, programador, ativista e defensor do software livre. Sem sombra dedúvida o campo da segurança computacional me seduz como nem uma outraárea. Apaixonado por tecnologia e fascinado pela cultura hacker.
Email: fabiojanio@segurancadigital.infoBlog: www.fabiojanio.comTwitter: @_SDinfo
Figura 1 Logo do OpenStack.
CClloouudd CCoommppuuttiinngg
O conceito de cloud computing (em português,computação em nuvem) referese à capacidade dese utilizar recursos de processamento e armazenamento que se encontram externos a sua máquina.Os computadores/servidores que oferecem este recurso chamado cloud, geralmente estão interligados por meio da rede mundial de computadores(internet), esta interconectividade entre asmáquinas que formal a cloud é chamada de computação em grade e as vezes alguns a chamam decomputação distribuída.Em resumo os benefícios oferecidos pela cloud
são, disponibilidade de recursos conforme necessidade (escalabilidade), acessibilidade e disponibilidade.
Mesmo a cloud computingse apresentando como umasolução benéfica ao futurodas empresas e negócios como um todo, é preciso tomarcuidado quanto ao seu uso.
Março 2012 • segurancadigital.info
Quando pensamos em links WAN (links de dados delonga distância), normalmente associase com a relação entre custo e velocidade. Quanto mais rápido
for o link, maior o custo. Como usufruir da melhor maneira o investimento nessa tecnologia indispensável para empresas que possuem escritórios distribuídosgeograficamente, e ainda assim manter a segurança destelink?Para entendermos melhor os conceitos que serão
descritos, imaginemos o seguinte cenário: uma empresa de advocacia possui escritórios em três grandes capitais, como São Paulo, Rio de Janeiro e Brasília.Esta empresa possui um sistema online de controle deprocessos, no qual o servidor fica na matriz em SãoPaulo, assim como as pastas de documentos diversoscompartilhadas entre todas as filiais. Diariamente osfuncionários acessam o sistema para consulta e entrada de dados e compartilham arquivos. Para minimizaros custos e por segurança, o acesso à Internet das filiais também é feito exclusivamente através da matriz.Neste suposto cenário fica claro que a utilização
dos links entre todos os escritório é largamente utilizado e vital para o bom funcionamento da empresa, porém, nesta utilização dos links está incluído o acessoà Internet de forma geral: sites de notícias, governamentais, blogs, vídeos e até redes sociais. Estes sitesocupam parte significativa da banda do link, em espe
cial os vídeos, como YouTube, por exemplo. Para minimizar esta utilização em demasia, é comum queempresas bloqueiem estes sites através de servidoresProxy ou filtros de conteúdo, mas é muito comumque estes sites tenham que ser utilizados para fins detrabalho também, além, é claro, de proporcionar momentos de relaxamento durante as horas de expediente, o que pode também ser produtivo para ofuncionário. Bloquear ou não estes sites que consomem muita banda não é ponto em questão aqui, massim administralos.O gráfico abaixo demonstra um exemplo de utili
zação de um link WAN de 2Mbps de uma filial paraa matriz, no qual é compartilhado o acesso à Internet,assim como às aplicações desenvolvidas para o funcionamento da empresa. Notase que em momentosde acesso à YouTube, por exemplo, o consumo debanda é bastante alto e é sacrificada a banda que seria necessária para as aplicações.
|35
Otimizaçã
odeLinks
WAN
Março 2012 • segurancadigital.info
Tornase necessário, portanto, para garantir a boaperformance das aplicações mais essenciais, primeiramente, visualizar e entender quais tipos de dados estão sendo transmitidos no link. Para tal existemferramentas no mercado que fazem este tipo de análise e geram gráficos semelhantes ao descrito. Uma vezanalisada a utilização do link, o próximo passo é bloquear a transmissão de dados que não são relevantes,como por exemplo, pacotes de dados de jogos online,sites ilícitos ou que ferem a política de utilização dosrecursos da empresa, etc. Este tipo de procedimentofornece à equipe de segurança um maior controle sobre o que se passa dentro da rede das filiais e atravésdo link WAN e deveria ser aplicado sempre que possível.Uma vez limpo o tráfego no link para que transi
tem somente os dados realmente necessário, deve serfeito o controle da quantidade de banda designada para cada tipo de aplicação. Por exemplo: pode ser decidido que, neste link de 2Mbps, acesso à sites comoYouTube ou conteúdo de vídeo, poderá ser utilizadosomente 512Kbps da banda total. Isso garantirá a boavelocidade e tempo de resposta das aplicações maisimportantes e ao mesmo tempo permitir que os usuários tenham acesso ao conteúdo da Internet.Porém, como o objetivo é otimizar a utilização do
link e usufruir da melhor forma possível o investimento feito, esta solução não é suficiente. Imagine a situação que, em um determinado momento a empresaestá utilizando pouco o link, somente 1Mbps dos2Mbps contratados. Ainda assim, o acesso à sites devídeo continuam limitados aos 512Kbps configuradospelo sistema de controle. O restante da banda não está sendo utilizado e assim, desperdiçado.A solução é aplicar políticas que controle o acesso
à aplicações incluindo o fator "prioridade". Seguindonosso exemplo anterior e aplicando essa nova política, o acesso à sites de vídeos terá permissão de utilizar 512Kbps como antes, porém ela poderá utilizaraté 100% do link caso não concorra com outras aplicações mais prioritárias, como as aplicações empresariais ou compartilhamento de arquivos. Uma vez queuma aplicação mais prioritária deseje utilizar o link,ela terá um espaço na banda determinado para o bomfuncionamento e quem irá ceder espaço, desta vezsão as aplicações menos prioritárias, como o YouTube, no nosso exemplo.O gráfico abaixo mostra o fluxo de dados transmi
tido pelo menos link, porém agora com controle debanda por aplicações. Notase que em determinado
momento, quando as aplicações empresariais não requerem muita banda, outras aplicações que eram limitadas, agora podem utilizar mais espaço no link,não desperdiçando a banda contratada.
Por fim, uma vez analisado os tipos de tráfego quesão transmistidos pelo link e controlar sua utilizaçãode banda para otmizar a performance das aplicaçõesmais essenciais, podese também fazer uso de tecnologia de deduplicação de dados, ou seja, evitar que omesmo dado seja transmitido mais de uma vez através do link, como por exemplo arquivos, imagens,vídeos ou até mesmo anexo de emails, quando este éenviado à diversos funcionários da mesma filial.Quando se trata de utilizar links WAN para comu
nicação, devemos ter em mente sempre a visualização dos tipos de dados que são transmitidos,administrar o consumo de banda por tipo de aplicações, definindo o que é mais prioritário e por fim otimizar o consumo deste link. Com a aplicação destesconceitos, as empresas poderão usufruir da melhorforma possível todo o benefício do investimento nesta tecnologia de transmissão.
ARTIGO Segurança Digital
|36
Fernando Shayani
Empresa: criTTeria Serviços de TISite: www.critteria.com.brEmail: fernando@critteria.com.br
Março 2012 • segurancadigital.info
IInnttrroodduuççããooMuitas empresas no Brasil já começam a entender
a importância deste novo paradigma de computaçãonas nuvens (cloud computing). Porém em um recenteestudo realizado pelo Business Software Alliance(BSA), chamado de BSA Global Cloud ComputingScorecard1, divulgado no último dia 22 de Fevereirode 2012, foi externado à posição do Brasil no rankingdos países que estudam a adoção de computação nanuvem. O estudo baseiase na atual agenda de iniciativas para desenvolver e adotar o conceito de computação na nuvem. Resultado: o Brasil ficou em últimolugar.Este estudo leva em consideração uma série de pa
râmetros de avaliação, porém, para o contexto desteartigo é importante salientar os seguintes: Segurança,Crime Cibernético e Privacidade dos Dados. Paramensurar o quão preparado o país estava para lidarcom tais temas, uma série de questionamentos foramrealizados2. No tópico de Privacidade dos dados oBrasil falhou em quatro de dez perguntas. No tópicode Segurança o Brasil falhou em três de cinco perguntas. No tópico de Cribe Cibernético o Brasil falhouem duas de quatro perguntas.
O objetivo deste artigo é de mostrar as vantagensda computação na nuvem do ponto de vista do negócio, levantar os principais riscos que devem ser mitigados durante o planejamento da migração e por fimenumerar pontos importantes da migração. É importante salientar que o artigo não tem como objetivotratar as questões legais da adoção da computação nanuvem em território Brasileiro.
AAss VVaannttaaggeennss ssããoo MMuuiittaassAntes mesmo de saber o motivo que leva a com
putação na nuvem ser tão atrativa para os negócios, éimportante entender o que de fato é a computação nanuvem. Para isso eu vou recomendar a leitura do Capítulo 17 do Livro de Security+ (de minha autoria emparceria com Daniel Mauser)3. Neste capítulo vocêvai ter a definição de computação na nuvem uma série de consideraçòes sobre sua adoção.Partindo do pressuposto que estamos agora falan
do o mesmo idioma no que tange o conceito de computação na nuvem, tornase mais claro o impacto quetal tecnologia terá em diferentes áreas do mercado. Alista de vantagens podem e são bem mais extensasque a que apresentarei abaixo, porém quero enfatizar
|37
Identificando as oportunidades e mitigando os riscosda adoção da computação na nuvem
1 Relatório completo em http://portal.bsa.org/cloudscorecard2012/assets/PDFs/BSA_GlobalCloudScorecard.pdf2 Ver página 12 do relatório citado na nota 1.3 Você pode baixar o capítulo 17 no site do livro, em www.securityplusbr.org
Março 2012 • segurancadigital.info
Segu
ranç
aem
Clo
udC
ompu
ting
os três principais fatores de motivação para migraçãopara nuvem:
Do ponto de vista do negócio os atrativos da computação na nuvem são inumeros, porém também existe o “medo”, principalmente pelo lado do profissionalde TI que esta migração signifique o fim do empregodele na empresa. Assim como toda e qualquer mudança, a migração para nuvem traz oportunidades e riscos para os profissionais que diretamene seramafetados por isso. O tradicional profissional de TI/Segurança que está acostumado a trabalhar de uma forma mais reativa (apagando incêndio) vai realmentesentir que sua existência na empresa pode estar emrisco. Isso devido ao fato de que na migração para nu
vem publica, a operacionalização dos servidores quefornecem os serviços são realizadas pelo provedor danuvem. Porém, tais profissionais precisaram se readequar a esta realidade e começar a usar desta mudança uma oportunidade de agregar valor ao negócio.O profissional de TI/Segurança que antes era 90%
reativo e 10% proativo, precisará agora inverter ospapeis. Os profissionais de Segurança vão ter maistempo para trabalhar mais nas políticas de segurança,treinamentos de segurança (security awareness training), acessar os fatores de vulnerabilidade da empresa, fazer testes de penetração, fazer levantamentode risco, liderar o programa de segurança na computação na nuvem dentro da empresa. Veremos mais nafrente que migração para nuvem não é uma transferência de risco de segurança para o fornecedor dosserviços da nuvem. Já os profissionais de TI vão termais tempo para planejar o uso de TI como uma forma de alavancar negócios para a empresa, alinhar TIcom os objetivos da empresa, fazer com que o departamento de TI não seja visto apenas como um localque “conserta o computador”, mas sim o departamento que faz o negócio acontecer, traz valor ao negócioatravés da adoção de novas tecnologias e automaçãode processos. Tornase essencial neste novo modeloque os profissionais de TI tenham conhecimento mínimo de gerencialmento de projetos (recomendo nomínimo a certificação Project+ da CompTIA, o idealé obter a certificação PMP) e serviços/operacionalização de TI (recomendo a certificação ITIL V3 Foundations).
EE ooss RRiissccooss??Conforme mencionei anteriormente, mudança é
composta de riscos e oportunidades. Ao passo que citei algumas oportunidades que giram em torno da migração para nuvem, os riscos também são grandes.Porém a boa notícia é que os riscos podem ser mitigados. A tabela abaixo enumera o risco e as possíveisperguntas que devem ser questionadas ao provedorde serviço de nuvem:
ARTIGO Segurança Digital
|38
Demandas Econômicas: com a premissa de quevocê só vai pagar pelo que você usa há uma tendência natural de redução de custo. Junto com a redunção de custo vem a capitalização em cima douso do serviço sobre demanda. O modelo de licensiamento fica simplificado e com um custo benefício mais atraente.Redução de Gerenciamento: a partir do mo
mento que se passa a consumir o software comoum serviço, a redução do gerenciamento da plataforma (principalmente do lado do servidor) é reduzida. A abstração do que está por trás do serviçoque esta sendo consumido leva a uma redução geral de gerenciamento. As implementações tendema ficarem mais ágeis, tendo em vista que os upgrades da plataforma BackEnd ficam por conta dofornecedor de serviços da nuvem.Aumento da Produtividade: os usuários vão
ter mais exposição a trabalhar com as versões maisnovas do software devido a agilidade de migraçãoexistente na plataforma. Se antes as empresas precisavam disponibilizar sua própria plataforma deacesso remoto para que o usuários pudessem colaborar de forma remota, agora o usuário só precisater acesso a web para acessar os softwares corporativos.
Risco Perguntas Frequentes
Confiar no modelo de segurançado provedor de soluções
Quais as garantias que tenho para confiar no seu modelo de segurança? Seu datacenter tem alguma certificação relevante do âmbito de segurança?
Lidar com auditoria de dados Posso ter acesso aos dados para fazer auditoria no sistema que eu uso? O que é preciso para auditar o manuseamento dos meus dados?
Março 2012 • segurancadigital.info
Tais questionamentos fazem parte apenas do reconhecimento das políticas de segurança do provedorde serviços da nuvem. O trabalho não acaba por aí,na reallidade está apenas começando. O documento8001444 do Instituto Nacional de Padrões e Tecnologias (NIST – National Institute of Standards and Technology) dos Estados Unidos define uma série dediretrizes para segurança e privacidade em uma núvem pública.
PPrreeppaarraannddoossee ppaarraa MMiiggrraaççããoo tteennddoo SSeegguurraannççaa ccoommoo PPrreemmiissssaaUm dos aspectos que geralmente não é endereçado
com a devida atenção é a segurança de perímetro.Muitos gestores têm a idéia errada que a contrataçãode um serviço de núvem significa a transferência deresponsabilidade da segurança dos dados para o provedor de serviços, porém isso não é verdade. Os dados podem estar em locais diferentes durante atransação e dependendo de onde ele esteja à responsabilidade é de partes diferentes. Vejamos no diagramada Figura 1.Neste diagrama podemos notar que os recursos lo
calizados na rede interna são críticos também. Atémesmo porque se uma estação de trabalho for compro
metida, ela poderá tornarse a porta de entrada para oacesso malicioso a dados que estejam localizados nanuvem. Como o acesso das premissas do cliente parao provedor de nuvem é válido e autenticado, tornasedifícil mitigar um acesso que aparentemente é válido.Por este motivo, os recursos localizados no ítem 1são de responsabilidade do cliente. A segurança destes ativos é de responsabilidade do contratante.Quando o dado está em trânsito é necessário que o
mesmo esteja criptografado. Com os recentes ataquesa certificados SSL, tornouse ainda mais necessárioter um dispositivo de perímetro (Firewall) que sejacapaz de não apenas analisar o tráfego, mas que também possa fazer validação SSL. Através da inspeçãoSSL realizada pelo firewall você estará adicionandouma camada a mais de proteção. O conceito de segurança em profundidade aplicado na prática tornasemais importante que nunca.
Ao chegar à rede do provedor de serviços danuvem, a responsabildiade passa a ser do provedor.Os questionamentos que relacionados a proteção destes dados (como os exemplos que mencionei anteriormente) precisam ser endereçados.
ARTIGO Segurança Digital
|39
Obter suporte para fins deinvestigação de incidentes
Caso eu precise fazer uma investigação forense, como obtenho dados dosservidores que eu utilizo?
Desenvolvimento não seguro deaplicações
As aplicações que minha empresa vai consumir no seu serviço de nuvemforam desenvolvidas com algum modelo de segurança para nuvem?
Ameaças internas
Quais as garantias que tenho que o seu pessoal (operacional) não vai sabotarmeus dados? É feito algum tipo de “background check” nos profissionais que sua empresacontrata para operar os serviços da nuvem?
Tecnologia compartilhada
É possível que o meu concorrente tenha dados armazenados no mesmoservidor que eu uso, tendo em vista que estamos em uma plataformavirtualizada. Como é feito o isolamento dos dados em descanso (data resting)e em trânsito?
Vazamento de informações Que tipo de penalização/multa esta prevista caso exista vazamento dos meusdados pessoais localizados no datacenter da sua empresa?
Localização Geográfica* Onde fica o datacenter que vai armazenar meus dados?
* Este questionamento é importante para fins de regulamentação. Em alguns países e para alguns tipos detransações, é mandatório que o dado fique localizado dentro das premisas físicas do país.
4Documento completo em http://csrc.nist.gov/publications/nistpubs/800144/SP800144.pdf
Março 2012 • segurancadigital.info
Figura 1 Trajeto do dado.
CCoonncclluussããooNeste artigo você aprendeu um pouco sobre as
questões relacionadas a segurança na nuvem publicae alguns fatores que devem ser considerados duranteesta migração. As referências abaixo podem serutilizadas para um aprofundamento maior no tema.
RReeffeerrêênncciiaassProtecting your Weakest Point: OnPremise
Resources (ISSA Journal/Maio 2011)www.yuridiogenes.com.br/issa/WeakestPoint_ISSA
0511.pdf
TechED 2011 Segurança de Perímetro duranteMigração para Nuvem (SIA302)http://yuridiogenes.wordpress.com/2011/10/04/tech
ed2011seguranadepermetrodurantemigraoparanuvemsia302/
Capítulo 17 do Livro de Security+ (EditoraNovaTerra)http://www.securityplusbr.org
Guidelines on Security and Privacy in PublicCloud Computinghttp://csrc.nist.gov/publications/nistpubs/800
144/SP800144.pdf
ARTIGO Segurança Digital
|40
Yuri Diogenes
(CISSP, EC|CEH, E|CSA, CompTIACloud Essentials Certified, CompTIASecurity+, Network+, MicrosoftMCITP, MCTS, MCSA/MCSE+Security, MCSE+Internet, MCSA/MCSE+Messaging, membro da ISSANorth Texas e da American Society ofDigital Forensics & eDiscovery). Mestrando em Cybersecurity Intelligenceand Forensics Investigation pela UTICA College nos Estados Unidos, é autor de vários livros na área desegurança da informação e ex membrodo grupo de engenharia de suporte aprodutos da linha Microsoft ForefrontEdge Security. Atualmente Yuri trabalha no grupo Windows IT PRO Security da Microsoft. Yuri também escreveno seu blog em inglês.
Em ingles: http://blogs.technet.com/yuridiogenesEm Português http://yuridiogenes.wordpress.comTwitter @yuridiogenes
Março 2012 • segurancadigital.info
Mais cedo ou mais tarde iremos necessitar deacesso remoto a algum servidor, seja para realizar alguma configuração, manutenção, procedi
mentos de rotinas ou qualquer outra tarefa. Algunsadministradores de rede, sistemas, entre outros, ficam decabelos em pé ao ouvir algo como “preciso de acesso remoto”.Conheço casos de hospedagem web onde o forne
cedor não libera acesso FTP para seus clientes e, aoinvés disso, a parte contratante da hospedagem temde enviar os arquivos para os responsáveis pelo servidor e só então estes fazem o upload. Alguém se esqueceu de avisar a estes “indivíduos” que estamos empleno século XXI.Este tutorial trata basicamente de como conseguir
manter seu servidor com acesso SSH fora do alcancede indivíduos mal intencionados, mas lembrese, nada na informática é 100%. Estou apenas mostrandocomo adicionar uma camada de segurança bem eficiente.
DDiicc iioonnáárr iioo ddoo mmaallEste subtítulo é um tanto irônico, mas acho bem
apropriado para o tema aqui abordado. Este título representa para mim um conjunto de “palavras computacionais” que podem ser utilizadas para conseguiracesso não autorizado a um sistema informático.
Servidores que necessitam de acesso remoto pormeio de senha, como o SSH, acabam ficando vulneráveis por estarem expostos à Internet. Estes, por suavez, podem sofrer ataques de força bruta (dicionário), que visam “encontrar” a combinação de senhaque permita ao meliante se logar com algum usuáriovalido no sistema alvo.Diferentes técnicas podem ser empregadas para
minimizar os riscos de acesso não autorizado. Umaautenticação por chave pode ser uma das soluçõespara fortalecer o nível de segurança e endurecimento(hardening) do sistema, mas de fato esta abordagemnão impede ataques de força bruta de serem realizados contra o servidor alvo, apenas torna inviável estatática de “guerra”.Tenho plena certeza que muita gente pensa o se
guinte: “vou fortalecer o sistema ao máximo e destaforma indivíduos mal intencionados não poderão mecausar danos, pois não conseguirão acesso ao sistema”. Este pensamento pode ser considerado antiquado e até irresponsável pelo simples fato de que não énecessário conseguir acesso ao sistema para causar“prejuízos”. Se você, por exemplo, permitir que indivíduos realizem ataques de dicionário, existe a possibilidade de estes conseguirem sobrecarregar oservidor ao inundar o sistema com requisições inválidas de acesso.
|41
SSH
-ProteçãoCom
Den
yHosts
Este tutorial mostra como proteger o servidor SSH enão a conexão...
Março 2012 • segurancadigital.info
DDeennyyHHoossttssO DenyHosts pode ser apresentado como uma das
melhores formas de proteger seu servidor contra ataques como força bruta. Em outras palavrasDenyHosts é uma ferramenta/script que monitora osarquivos de log /var/log/secure e /var/log/auth.log,respectivamente para Red Hat/Fedora e Debian/Ubuntu. A partir deste monitoramento, esta ferramenta adiciona entradas em /etc/hosts.deny, arquivoresponsável por negar pedidos de requisições vindasdos hosts listados em seu interior, vale ressaltar aindaque as entradas são adicionadas a este arquivo seguindo parâmetros determinados pelo administrador, como, por exemplo, número de requisições negadasdentro de um intervalo de tempo. Ressalto ainda queDenyHosts pode ser instalado em qualquer distroGNU/Linux, neste tutorial levaremos em conta a instalação em ambiente Fedora e Debian, lembrando ainda que com poucas ou nenhuma modificação estepode ser instalado em outras distribuições.
MMããooss àà oobbrraaChega de conversa e vamos fazer a instalação do
DenyHosts. Basicamente, esta instalação pode ser feita de duas formas, por meio de gerenciadores de pacote como aptget/aptitude em distribuições Debian eyum em distribuições como Fedora. Outra forma defazer a instalação é baixando o pacote tar.gz no endereço [1] Neste tutorial irei instalar o DenyHosts emum ambiente Debian 6 (squeeze) e Fedora 16, utilizando gerenciadores de pacote.
IInnssttaallaannddoo vv iiaa aapptt ii ttuuddee yyuummAqui utilizarei o comando aptitude para fazer a ins
talação do DenyHosts mas, caso você prefira utilizaro aptget, fique à vontade. A primeira linha do quadroabaixo se refere ao comando que deve ser utilizadoem distribuições Debian e derivadas, já a segunda linha é utilizada em distribuições Fedora e derivadas:
Utilizar gerenciadores de pacotes como aptitude/yum apresenta diversas vantagens, como, por exemplo, não ser necessário fazer um download manualdo pacote, não ser preciso descompactar nem moverarquivos dentro do sistema, pois estes já são enviadospara seus devidos diretórios e, por último, não ser preciso criar links dentro do sistema. No tópico seguinte
veremos outra forma de baixar e instalar oDenyHosts, mas lembrese: se você utilizou um gerenciador de pacotes como aptitude ou yum não serápreciso fazer a instalação do tar.gz.
CCoonnff iigguurraannddooApós o processo de instalação nos resta apenas re
alizar as configurações finais, configurações estasque tornarão o DenyHosts funcional. Caso você tenha instalado esta ferramenta por meio de gerenciadores de pacotes em distros baseadas no Debian, oarquivo de configuração se encontra em/etc/denyhosts.conf, já no caso de RedHat/Fedora/CentOS o arquivo em questão fica em/etc/hosts.deny.Tanto na instalação por meio de gerenciadores de
pacotes como por meio do arquivo tar.gz as configurações são basicamente as mesmas. Relembrando quese você fizer a instalação via tar.gz será preciso criarlinks simbólicos para diretórios do sistema e renomear o arquivo de configuração, ou seja, você terá trabalho dobrado. Editando o arquivo de configuração,você deverá ficar atento às informações relacionadasaos endereços de arquivos de logs da distribuição naqual o DenyHosts foi instalado:
DICA / TUTORIAL Segurança Digital
|42
# aptitude install denyhosts# yum install denyhosts
# Arquivo de LOG a ser verificadoSECURE_LOG = /var/log/secure
# Arquivo que contém hosts bloqueadosHOSTS_DENY = /etc/hosts.deny
# Limpar o arquivo /etc/hosts.deny a cada 3 diasPURGE_DENY = 3d
# Especifica o serviço a negar acessoBLOCK_SERVICE = sshd
# Quantos logins inválidos de usuário inexistentesindica uma tentativa de ataqueDENY_THRESHOLD_INVALID = 3
# Quantos logins inválidos de usuário existenteindica uma tentativa de ataqueDENY_THRESHOLD_VALID = 5
# Quantas tentativas invalidas de login como rootcaracterizam uma tentativa de ataqueDENY_THRESHOLD_ROOT = 1
# Denunciar logins inválidos vindos de máquinasválidasSUSPICIOUS_LOGIN_REPORT_ALLOWED_
HOSTS=YES###Parâmetros opcionais para envio de emails dealerta
Março 2012 • segurancadigital.info
VVaalloorreess ddee tteemmppoo
Caso você especifique algum valor e não indique aunidade de tempo, o valor a ser considerado será emsegundos.
DDeennyyHHoossttss ffuunncc iioonnaannddooAo realizar a instalação por meio dos gerenciado
res de pacote, o DenyHosts irá funcionar em modoDaemon , ou seja, rodará constantemente em segundoplano, não sendo necessário que você solicite sua execução.Toda vez que um host identificado como potencial
atacante for detectado, uma entrada será adicionadaao arquivo especificado na variável HOSTS_DENY.Os valores adicionados seguem mais ou menos estepadrão:
DDeeffeessaa ccoollaabboorraatt ii vvaaResumidamente, o DenyHosts possui uma lista glo
bal contendo hosts potencialmente agressivos, sendoassim você não precisa esperar que um ataque seja realizado contra sua máquina para poder adicionar esteshosts a lista de máquinas bloqueadas. Para ativar o recurso de lista colaborativa, basta descomentar as se
guintes linhas no arquivo de configuração:
Mas existe um problema em utilizar esta abordagem. Um servidor com DenyHosts mal configuradopode bloquear um host que não apresenta perigo algum, para evitar isso você pode descomentar a seguinte linha:
Esta, por sua vez, tem a função de fazer downloadsomente daqueles hosts que tiverem sido bloqueadosem pelo menos 6 servers diferentes, com certeza estaabordagem tornará a lista de hosts mais fidedignas.Outro recurso interessante que pode aumentar ain
da mais a veracidade da sua lista é:
Este, por sua vez, tem como objetivo considerarapenas os hosts que estiverem bloqueados a pelo menos dois dias. Lembrando que você pode editar estevalor utilizando outras unidades de tempo ou atémesmo outros valores para esta mesma unidade.
|43
ADMIN_EMAIL = adm@endereco.com.brSMTP_HOST = mail.endereco.com.brSMTP_PORT = 25SMTP_FROM = DenyHostsSMTP_SUBJECT = Relatorio DenyHosts
### Parâmetros para o modo daemonDAEMON_LOG = /var/log/denyhosts
# Intervalo de tempo para verificação do arquivo delog.DAEMON_SLEEP = 30s
# Intervalo para limpeza da lista de bloqueados.DAEMON_PURGE = 1d
Unidade de tempo Descrição
s Segundo
m Minuto
h Hora
d Dia
w Mês
y Ano
sshd: 123.456.789sshd: 234.567.890sshd: 345.678.901
# caso você utilize algum firewall, certifiquese quea porta 9911 pode ser utilizada pela ferramenta:SYNC_SERVER = http://xmlrpc. denyhosts.net:
9911# permitir ou negar download da lista colaborativa:SYNC_DOWNLOAD = yes
# permitir ou negar upload da lista de bloqueiosrealizado pelo seu server:SYNC_UPLOAD = yes
SYNC_DOWNLOAD_RESILIENCY = 2d
SYNC_DOWNLOAD_THRESHOLD = 6
Fábio Jânio Lima Ferreira (Diretor e Diagramador)
Analista de suporte técnico, administrador de redes, programador, ativista e defensor do software livre. Sem sombra dedúvida o campo da segurança computacional me seduz como nem uma outra área.Apaixonado por tecnologia e fascinadopela cultura hacker.
Email: fabiojanio@segurancadigital.infoBlog: www.fabiojanio.comTwitter: @_SDinfo
DICA / TUTORIAL Segurança Digital
[1] http://sourceforge.net/projects/denyhosts/files/denyhosts/
Março 2012 • segurancadigital.info
VViioollaaççããoo ddee eemmaaii ll ssíírr iioo iinnddiiccaa gguueerrrraa ddiiggii ttaallA divulgação de dezenas de emails reveladores do presidenteBashar elAssad aponta parauma nova era de guerra de informações tenha sido ela ação
dos próprios rebeldes sírios, resultado de ajuda deagências de espionagem do Ocidente ou de hackersativistas.>> http://migre.me/8k8bk
1133 eemmpprreessaass ddee TTII ssããoo pprroocceessssaaddaass ppoorr rroouubbooddee ddaaddooss
Um grupo de norteamericanosprocessou várias empresas de tecnologia por elas terem violadosseus dados pessoais emsmartphones. Eles alegam no pro
cesso que os apps (das empresas Facebook, Beluga,Yelp, Burbn, Instagram, Foursquare Labs, Gowalla,Foodspotting, Path, Twitter, Apple, Hipster, LinkedIn, Rovio, ZeptoLab, Chillingo, Electronic Arts eKik) acessam, sem autorização, os dados pessoais –como lista de contatos telefônicos e de emails – paracompartilhar informações ou mesmo montar uma base de dados.>> http://migre.me/8k8gj
AAssssaannggee,, ddoo WWiikk iiLLeeaakkss,, eessttuuddaa vvii rraarr ppooll íítt iiccooO fundador e líder do WikiLeaks, Julian Assange, planeja secandidatar a uma cadeira no Senado da Austrália, anunciou ogrupo antisigilo no Twitter nes
te sábado. Os comentários não puderam ser imediatamente confirmados. O australiano Assange, 40, estáatualmente em regime de prisão domiciliar no ReinoUnido e luta contra a extradição para a Suécia paraser interrogado sobre acusações de crimes sexuais.>> http://migre.me/8k8lR
AAnnoonnyymmoouuss:: IInntteerrppooll ssee iinnff ii ll tt rroouu nnoo ggrruuppoo ppaarraa pprreennddeerr mmeemmbbrroossPessoas identificadas como membros do grupo hac
ker Anonymous afirmaram que ainfiltração da Interpol na organização foi o que levou à prisão de25 hacktivistas na Europa eAmérica Latina. O grupo afir
mou que quase todos os integrantes presos haviamparticipado em um mesmo site da rede usado peloAnonymous.>> http://migre.me/8k8rc
EEmm eenntt rreevviissttaa,, ffuunnddaaddoorr ddoo MMeeggaauuppllooaadd ccoommppaarraa ssii ttee aaoo GGooooggllee
O alemão Kim Dotcom, o fundador do Megaupload, concedeu na quintafeira (1°) suaprimeira entrevista para TV neozelandesa depois de ser solto
da prisão. Ao jornalista John Campbell, o empresário, que é acusado de facilitar a pirataria e causar umprejuízo de US$ 500 milhões, disse que o site estavaprotegido pela lei do Digital Millennium CopyrightAct (DMCA), a mesma que protege sites como oYouTube e o Google.>> http://migre.me/8k8uj
LLiinnuuss TToorrvvaallddss ccrr ii tt iiccaa ddiisstt rrooss qquuee ppeeddeemm sseennhhaa ddee rroooott ppaarraa ttaarreeffaass ccoommuunnss
Opinião pessoal não deve ser levada em conta na hora de generalizarsobre determinado sistema, masquando essa opinião vem de alguém com grande influência naorigem do mesmo, não dá para dei
xar o caso passar despercebido. Linus Torvalds desabafou no seu Google+ sobre as políticas de segurançado OpenSUSE.>> http://migre.me/8k8xk
|44
NOTÍCIAS
Contribua com nosso projeto?
Envie um email para nossa equipe!
contato@segurancadigital.info
Março 2012 • segurancadigital.info
ANÚNCIO AbleSecurity|45 Março 2012 • segurancadigital.info
www.ablesecurity.com.br
Março 2012 • segurancadigital.info|46
ANÚNCIO Data Security
Março 2012 • segurancadigital.info|47
Par
ceiro
s
Venha fazer parte dos nossosparceiros, que apoiam e contribuem com o Projeto Segurança Digital.
O curso é totalmente prático e aborda métodos, técnica e ferramentas utilizadas por Hackers, utilizandoas para a realização de Testes de invasão
(Pen Tests). Todo conteúdo é transmitido de forma práticae dinâmica, apresentando desafios para serem resolvidosao longo do curso. Dessa maneira, o aluno se depararácom cenários reais que simularão contextos específicos onde precisará realizar um Teste de invasão, onde no final docurso um relatório final deverá ser apresentado.Esse é o segundo curso da formação em seguran
ça, onde o aluno, após aprender a proteger seu servidor (através do curso 415), aprenderá técnicas aindamais avançadas para descobrir e explorar vulnerabilidades, avaliando seu grau de risco e ameaça, oferecendo no relatório final o resultado de seu trabalho ecomo mitigar as falhas e vulnerabilidades encontradas.
QQuueemm ddeevvee ffaazzeerr eessttee ccuurrssoo ee ppoorr qquuêêConsultores de Segurança, Analistas de segurança
e Administradores de Redes que queiram entender ofuncionamento das intrusões feitas pelos Crackers.Os profissionais de TI serão capacitados para realizarTestes de Segurança, permitindo que identifiquem vulnerabilidades e qualifiquem ameaças, conseguindo assim quantificar os riscos e nível de exposição dosativos da empresa, tendo o conhecimento para identificar comportamento hostis em suas redes no caso denecessidade de Resposta a Incidentes de Segurança.Além disso, também serão capacitados a validar
seus mecanismos de segurança por meio de PenTest(Teste de invasão de Rede). Este curso é baseado emmetodologias internacionais para avaliações e testesde segurança, onde cada item de uma rede ou servidor é testado, levando em consideração os vários tipos de ataques possíveis e ameaças existentes.Alunos, que já concluíram o curso 415, serão capa
citados a analisar e explorar vulnerabilidades existentes que podem ter sido deixadas mesmo após umprocesso de hardening. O profissional precisa conhecer como um processo de hardening é realizado, parasaber o que e onde testar se o processo foi realizadocom sucesso. No relatório final, o profissional estarácapacitado, com a visão de um possível invasor, à indicar onde as brechas estão e quais os procedimentosque devem ser realizados para se executar uma sintonia fina no hardening do sistema.
Alunos, que já concluíram o curso 415, serão capacitados a analisar e explorar vulnerabilidades existentes que podem ter sido deixadas mesmo após umprocesso de hardening. O profissional precisa conhecer como um processo de hardening é realizado, parasaber o que e onde testar se o processo foi realizadocom sucesso. No relatório final, o profissional estarácapacitado, com a visão de um possível invasor, à indicar onde as brechas estão e quais os procedimentosque devem ser realizados para se executar uma sintonia fina no hardening do sistema.
Para mais informações acesse:http://www.4linux.com.br/cursos/cursos
seguranca.html#curso406
Março 2012 • segurancadigital.info|48
PARCEIRO 4Linux
PPeenn tteessttTTeessttee ddee IInnvvaassããoo eemm RReeddeess CCoorrppoorraattiivvaass»
IInn tt rroodduuççããooA fraude, segundo o dicionário Aurélio, traz em
uma de suas definições do termo a falsificação, adulteração tendo como uma de suas características a máfé. Neste contexto, o artigo tem como escopo o usode técnicas investigativas a fraudes praticadas emmeios eletrônicos, tais como dispositivos de computação pessoal, como estações de trabalho, dispositivosportáteis como telefones celulares e demais elementos que visam contribuir com a aplicação de metodologias investigativas. Este artigo não tem a pretensãode indicar softwares ou soluções específicos, pois emse tratando de uma metodologia, considerase quequalquer ferramenta que se destina a produzir o resultado desejado atenderá as necessidades propostas pelas metodologias apresentadas neste documento.
CCoonntteexxttuuaall ii zzaaççããoo ddaa FFrraauuddeeConsiderado como ardil, a fraude visa ludibriar ví
timas, com o objetivo de ganhos por parte do fraudador. O contexto apresentado neste artigo traz comoescopo a experiência do autor Prof. Msc. MarceloLau indicando a atuação prática, baseada na adoçãode metodologias que foram construídas ao longo deestudos de caso1, apresentados ao longo de sua carreira até o momento, indicando cuidados importantesque devem ser tomados pelo perito no processo de realização de perícia forense.O primeiro contato do autor ao contexto investiga
tivo surgiu ainda em um período de atuação deste profissional em instituição financeira brasileira, pormeio do trabalho realizado em um grupo de respostaa incidentes. Um grupo de resposta a incidentes se caracteriza como um grupo especializado de profissio
nais que apresentam como objetivo a identificação deincidentes de segurança. Sabendo que a segurança dainformação é uma das bases do processo investigativo, tornase necessário conhecer um pouco sobre estetermo, principalmente no que tangem os processosinvestigativos, para isto será introduzido o conceitodo controle em segurança. E neste caso há hoje umanorma que determina a necessidade de controles emsegurança que são conhecidos como família ISO270002. No Brasil, esta família de normas é materializada como NBR ISO/IEC 270013, NBR ISO/IEC270024, NBR ISO/IEC 270045, NBR ISO/IEC270056, NBR ISO/IEC 270117. Este artigo não visaexplorar o significado de todas estas normas, nemsua relação com o processo investigativo, entretanto,consideramos importante que qualquer metodologiainvestigativa, tenha como base o processo de tratamento de resposta a incidentes8 atenda os controlesdefinidos pela NBR ISO/IEC 27002.É possível perceber em um grupo de resposta de
incidentes de uma empresa diversos profissionais dediversas áreas, não somente limitados a profissionaisde tecnologia ou segurança da informação. Esta observação é identificada por este autor em sua experiência em instituições financeiras, que tambémpercebeu ao logo de sua carreira, similaridades daadoção deste modelo no restante do mercado. Estacomposição de profissionais possibilita uma sinergiano atendimento de crises que podem levar a perda deconfidencialidade, integridade e disponibilidade dosativos9. O autor resume em poucas palavras que otermo confidencialidade visa manter o sigilo dos ativos, enquanto que a integridade visa manter o estadocompleto dos ativos e a disponibilidade, visa manter
Março 2012 • segurancadigital.info|49
PARCEIRO Data Security
AApplliiccaaççããoo ddee ttééccnniiccaass ffoorreennsseess nnaa iinnvveessttiiggaaççããoo eepprreevveennççããoo aa ffrraauuddee ((ppaarrttee 11))»
1 Consideram estudos de caso neste texto, as experiências práticas vividas pelo autor.2 Não se deve confundir a família ISO 27000 com a norma ISO 27000 que contêm uma visão geral evocabulário da norma. Para isto, recomendamos uma visita ao site da ISO/IEC 27000:2009, indicado nasreferências deste artigo.3 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID=1492.4 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID=1532.5 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID= 58103.6 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID= 1575.7 Esta norma pode ser adquirida no site da ABNT no endereço Web: http://www.abntcatalogo.com.br/norma.aspx?ID= 56448.8 O tratamento de resposta a incidentes é definido pela NBR ISO/IEC 27002 por meio do objetivo decontrole Gestão de Incidentes de Segurança da Informação.9 Entendemse como ativo qualquer coisa que tenha valor para uma organização. Os ativos podem ser classificados como ativostangíveis e ativos intangíveis. Exemplos de ativos podem ser: edificações, equipamentos, serviços, processos, pessoas e demaiselementos que apresentam valor para uma organização.
acessíveis os ativos a quem têm direito.Retornando a questão da fraude, há aspectos im
portantes a serem considerados quando alinhados aoprocesso de resposta a incidentes, pois o tratamentopode ocorrer em função de eventos ou incidentes.Consideramse eventos um ou uma série de ocorrências que geram a suspeita da perda de integridade, disponibilidade ou integridade de um ativo. Somentedepois da confirmação de um incidente é que podemos afirmar que este realmente é um incidente de segurança. O processo investigativo de fraude podeabranger tanto análise de eventos, quanto de incidentes, pois em diversos momentos, antes de um atacanteou fraudador obter sucesso à aplicação de fraude, estetenta insistentemente realizar tentativas que podemser registradas em sistemas e serem investigadas deforma apropriada. Este processo não será detalhadocom profundidade neste artigo, por não ser o objetoprincipal deste documento, pois o objetivo é informarao leitor a metodologia investigativa adotada em incidentes de segurança.Considerando que a experiência inicial do autor es
tá relacionada à atuação de processos investigativosrelacionados à prevenção a fraude na atuação em umaequipe de resposta a incidentes, devemos entender ametodologia apresentada neste artigo, reflete o resultado de uma análise crítica da atuação em forense pormeio de processo empírico analítico10 adotado peloautor e o resultado das observações sobre os fatoresde sucesso nestes processos investigativos. Com isto,traçamos um paralelo entre a metodologia e as observações realizadas em campo pelo autor que são materializados pelo parágrafo seguinte deste artigo.Os primeiros incidentes tratados pela equipe de
resposta a incidentes presenciados pelo autor estavamrelacionados à fraude financeira e eram relacionados
às tentativas de envio de arquivos anexados em correio eletrônico a vítimas. Neste momento eram aindautilizados como temas das mensagens eletrônicas,nomes e conteúdos que se faziam passar por instituições financeiras.Este tipo de ardil11 hoje é muito difundido no
mundo inteiro, onde se consideram alguns elementosque corroboram a insistência sobre este método atéos dias atuais. O primeiro elemento é o fato de seconsiderar que a fraude em meios eletrônicos podeocorrer em princípio por meio de três elementos: oemissor, o meio e o receptor. O emissor é em nossocaso o provedor do serviço eletrônico, muitas vezesdisponibilizados em canais como a Internet, entretanto não devemos esquecer que demais serviços eletrônicos12 não disponíveis somente neste meio decomunicação13. O meio trata da infraestrutura de comunicação entre o emissor e o receptor. Este meiopode ser a Internet ou qualquer outro meio que possibilite a conectividade destes elementos. Por fim o receptor que é em nosso caso o cliente que desejaacessar os serviços eletrônicos disponíveis. Hoje oponto mais suscetível à fraude é o receptor, e pormeios dos parágrafos seguintes deste artigo, o autortraz a base científica para esta afirmação.Quando contextualizamos neste artigo o emissor
no processo investigativo e de prevenção a fraudes,identificamos como ponto focal os serviços disponibilizados por instituições financeiras. Se tomarmoscomo base a comparação da robustez dos mecanismos de proteção e controles entre o emissor e receptor, percebemos que o emissor apresenta mecanismosde proteção que são mais robustos comparados aosmecanismos e controles apresentados pelo receptor,isto se deve pelo fato do emissor adotar arquiteturasde segurança não adotados em geral pelo receptor.
Março 2012 • segurancadigital.info|50
10 O processo empírico analítico se baseia na condução de diversas ações, baseadas em uma hipótese. Uma vez que a ação resulte emvalidação da hipótese para formulação de uma metodologia, para que esta possa ser utilizada com restrições em algumas generalizações. Estas restrições estão relacionadas às similaridades dos eventos observados e sua aplicação prática no processo investigativo forense.11 As técnicas em parte são similares às presenciadas nos primeiros incidentes, entretanto há algumas variações quanto à aplicação defraude em meios eletrônicos, dentre eles a não obrigatoriedade do envio de anexos em mensagens eletrônicas, que foi substituído peloenvio de links que possibilitam o download de arquivos maliciosos, que uma vez instalados permitem a captura e envio de informaçãode dados coletados da vítima ao fraudador por meios de comunicação disponíveis. Outro ponto evolutivo das ameaças é a existência detemas de mensagens eletrônicas que não utilizam necessariamente temas de instituições financeiras, podendo se passar por outros temas que visam ludibriar a vítima.12 Estes serviços eletrônicos mencionados trazem em seu significado, o uso de qualquer mecanismo ou sistema eletrônico que permitarealizar uma operação computacional. Neste caso, podemos incluir como exemplo os sistemas de pagamento por cartão de crédito,podendo também ser tão simples como as operações realizadas em telefones celulares como o envio de SMS (Short Message).13 Estes demais meios de comunicação são caracterizados como comunicações em link de dados, que podem estar restritos as redescorporativas e demais outras denominações como intranets e extranets.
PARCEIRO Data Security
Neste caso fazem parte dos itens desta arquitetura elementos de filtragem e monitoramento em segurançada informação, tais como Firewall14, IDS15/IPS16, Antivírus17, Hardening18 e demais elementos que possam contribuir com a segurança do emissor por meioda implementação destes mecanismos em camada19.Destes mecanismos de proteção mencionados, em geral o receptor conta com proteções apenas baseadasem Antivírus, não possuindo as mesmas camadas deproteção hoje existentes no emissor.O meio, que é algo ainda não foi mencionado com
detalhes neste artigo, é considerado como um meiobem protegido, principalmente quando estamos considerando comunicação cifrada, ou criptografada. Acriptografia neste caso é a implementação de tecnologia que permite o embaralhamento de informações,sejam destinadas ao armazenamento ou transmissãode dados. Em no escopo deste artigo, o meio utilizado em comunicações para transações financeiras, emgeral é a Internet, quando tratamos de contextualizara fraude em meios eletrônicos envolvendo clientes einstituições financeiras. Neste caso é padrão o uso deSSL20 (Security Socket Layer) como camada de embaralhamento destes dados. O SSL na prática é a adoçãode certificado digital no serviço que se deseja disponibilizar. Neste caso o certificado digital é representadopor um conjunto de bits21 gerados pelo sistema de certificação digital que provê a certeza da identidade do
serviço acessado, possibilitando pelo embaralhamento a implementação da confidencialidade sobre omeio de comunicação.Com esta descrição comparativa existente nos pa
rágrafos anteriores deste artigo se percebe que o elomais fraco em termos de segurança da informação éo receptor, neste caso o usuário do serviço que deveadotar mecanismos de controle para sua proteção.Estes controles podem ser caracterizados pela existência de Antivírus atualizado constantemente e configuração segura do sistema operacional eaplicativos, processo similar às técnicas de Hardening. Baseado neste cenário, identificaremos algumastécnicas e metodologias investigativas para o processo de confirmação da existência de fraude e proposição de metodologias investigativas, disponíveis nospróximos capítulos deste artigo.
MMeettooddoolloogg iiaa ddee IIddeenntt ii ff ii ccaaççããoo ddaa FFrraauuddeeDevese considerar que nem toda fraude identifi
cada como bem sucedida sistemicamente (ou seja,identificado nos sistemas seja por denúncia ou filtrosde detecção de fraude), indica imediatamente a vítima da fraude. Neste aspecto, é necessário o investimento de tempo e conhecimento investigativo pararealizar o processo de confirmação na identificaçãodo fraudador e a vítima, ou as vítimas de uma fraude.Há situações que se identifica a vítima como frau
Março 2012 • segurancadigital.info|51
14 Firewall é uma implementação de filtro de pacotes que permite a inspeção de seu conteúdo de acordo com o protocolo de comunicação, em geral baseado em TCP/IP (Transmission Control Protocol/ Internet Protocol). O Firewall pode ser implementado através deequipamentos especializados para o desempenho desta função ou configurados em software que podem ser utilizados sobre um sistemaoperacional de livre escolha do responsável pela implementação, isto é, se o software tiver suporte adequado para ser instalado na baseoperacional desejada.15 Intrusion Detection System. É um sistema de detecção de intrusão que pode ser baseado na implementação host ou rede. Em geralestes sistemas são configurados apenas para alertar os responsáveis pela segurança da existência de eventos ou incidentes de segurança, não envolvendo uma resposta do sistema aos ataques por meio do envio de pacotes TCP/IP.16 Intrusion Prevention System. É um sistema que além de detectar a intrusão, tem como objetivo o envio de pacotes TCP/IP possibilitando a ação de contramedidas contra ataques identificados no meio de comunicação originada pelo sistema.17 Sistema de detecção de vírus, programas de computador que tem o objetivo de identificar demais ameaças conhecidas como malware (Malicious Software).18 Hardening é um procedimento realizado para fortificar o sistema operacional e aplicativos por meio da configuração segura do mesmo. Este procedimento se baseia na configuração de permissionamentos restritos ao sistema, assim como a aplicação de correções desegurança e instalação apenas dos aplicativos e serviços necessários, evitando que o sistema seja exposto de forma desnecessária àsameaças tratadasem segurança da informação.19A arquitetura em camada consiste na aplicação de sucessivos mecanismos de proteção que visam proteger os ativos contra a perda deconfidencialidade, integridade e disponibilidade.20 Recomendo aos interessados em se aprofundar mais sobre o tema a leitura do livro SSL and TLS: theory and practice, referenciadona bibliografia deste artigo.21 Bit é a menor unidade binária utilizada no processo de armazenamento e transmissão de informações em sistemas informatizados,sugiro como aprofundamento a leitura de um livro que aborda os princípios da Eletrônica no livro Introduction to Digital Electronics,referenciado na bibliografia deste artigo.
PARCEIRO Data Security
dador, onde este simula a ocorrência de fraude, visando ganho financeiro. Isto é conhecido como auto fraude. A auto fraude pode ser ilustrada em serviçoscomo seguros, onde a suposta vítima, desejando ter ovalor correspondente de seu veículo simulado, providencia o desaparecimento de seu próprio veículo,com o objetivo do recebimento do prêmio do seguro.Em meios eletrônicos, uma suposta vítima tambémpode vir a transferir valores financeiros ou mesmo realizar resgates em sua conta corrente, alegando a existência de fraude. Neste contexto, é importante antesde qualquer adoção de metodologia investigativa, considerar o processo de confirmação do incidente ou dafraude.Este processo de confirmação inclui a análise de al
guns elementos externos ao equipamento do receptor22, complementado pela análise de evidênciasdisponíveis no equipamento da suposta vítima. Esteprocesso formal23 visa confirmar a existência da ocorrência da fraude.Caso seja confirmada a ocorrência de uma fraude,
considerase importante a preservação de evidênciasque possibilite a identificação de provas disponíveisno meio eletrônico, em geral, um computador pessoal24, que possa responder alguns pontos importantesrelacionados ao incidente. Estes pontos são derivadosda metodologia 5W1H25 (What, Where, When, Why,How e Who), que traduzidos26 são respectivamente(O que, Onde, Quando, Porque, Como e Por Quem):
Março 2012 • segurancadigital.info|52
22 Dentre estes elementos externos estão a análise de registros gerados pelo emissor pelas transações financeiras.23 A formalização é necessária, pois todo documento gerado pelo processo investigativo deve ser realizado de acordo com a lei e somente um processo documentado, pode subsidiar as partes em uma disputa legal, onde o perito será base de decisões do magistrado pormeio do laudo pericial.24 Considerase um computador pessoal, pois a vítima de uma fraude, em geral utiliza um computador, seja este de uso particular oupertencente à empresa que a vítima trabalha.25Metodologia também identificada no livro Advances in hybrid information technology, referenciado na bibliografia deste artigo.26 Esta não é uma tradução literal somente, é a interpretação e contextualização dada pelo autor quanto ao significado desta metodologia.27 Os significados fornecidos pelo princípio foram fornecidos pelo autor deste artigo.28 Estes princípios são considerados pelo autor os mais adequados no processo metodológico com computação forense, sendo considerados por muitos os processos clássicos, entretanto não podemos deixar de lado outros processos que possam ser adotados pelo perito,que de alguma forma ou outra devem seguir uma sequência estruturada e ordenada de ações.
Onde ocorreu a fraude:
Confirmação do computador ou computadoresque podem ser sido utilizados para a ocorrência
Quando ocorreu:
Visa delimitar a linha de tempo sobre o conjunto de evidências identificadas nos dois itens anteriores do 5W1H;
Porque ocorreu a fraude:
Em geral as fraudes que ocorrem neste meio visam como benefício o fraudador, entretanto,podemos considerar o benefício de outros envolvidos que podem ser descobertos no processo investigativo;
Como ocorreu a fraude:
Visa organizar em linha de tempo as evidênciasidentificadas nos itens anteriores do 5W1H; e
Quem cometeu a fraude:
Este item visa revelar a identidade de quem colaborou com a ocorrência da fraude.
da fraude;
Vale ressaltar que esta é uma proposta metodológica recomendada pelo autor e que esta pode seraplicável em alguns processos investigativos, entretanto não se têm como pretensão a generalizaçãodesta metodologia sem a devida validação dos mesmos por meio do método científico.Esta metodologia ainda deve estar atrelada ao pro
cesso formal em forense computacional, que visaatender alguns princípios27 em forense computacional28, tais como:
O que aconteceu:
Identificação de evidências e ações realizadasde programas maliciosos, ou vulnerabilidadesexploradas sobre o sistema afetado que podemter levado a ocorrência da fraude;
Identificação da Evidência:
Método utilizado para identificar a evidência aser coletada e analisada;
Preservação da Evidência:
Método utilizado para assegurar a integridadepor meio da realização de procedimentos de coleta, transporte e armazenamento seguro da evidência identificada;
PARCEIRO Data Security
Estes princípios em forense computacional também respeitam um padrão estabelecido em 2002, conhecido como RFC 322729, intitulado Guidelines forEvidence Collection and Archiving, sendo um conjunto de boas práticas destinadas às práticas forenses,possibilitando ações de identificação, preservação,análise e apresentação dos resultados de uma análiseforense, apesar do autor considerar que estas práticasmencionadas são incipientes comparadas com as técnicas hoje conhecidas e praticadas pelos profissionaisem investigações. Algumas das práticas adotadas nopróximo item deste artigo visam aprofundar algunsdos princípios trazidos por este padrão.Em termos de padrão, vale mencionar que está em
desenvolvimento uma norma intitulada como ISO2703730, que deve complementar a RFC31. Este documento intitulado como Evidence Acquisition Procedure for Digital Forensics32, deve compor as váriaspráticas hoje adotadas pelos profissionais que hojeatuam no âmbito investigativo de evidências digitais.A partir da adoção destes princípios e modelos me
todológicos, considerase importante entender a aplicação prática deste modelo no processo investigativorelacionado à identificação de fraudes. Esta materialização da metodologia ocorre por meio de atividades
sequenciais e dependentes a execução de tarefas quepossibilitam a aplicação prática destes modelos noprocesso de investigação de fraudes, as quais podemser lidas ao longo da continuação deste artigo.
AAppll ii ccaaççããoo IInnvveesstt iiggaatt ii vvaa ddaa MMeettooddoolloogg iiaaddee IIddeenntt ii ff ii ccaaççããoo ddaa FFrraauuddeeO perito ao se deparar com uma evidência deve
ser capaz de tratar este conteúdo de forma adequadaa fim de manter a integridade sobre a mesma, isto garantirá a obtenção dos dados definidos pelo modelo5W1H, assim como assegura a certeza do perito sobre as conclusões de uma evidência analisada semcontaminações que possam ter sido adicionadas peloperito ou processo adotado pelo perito, de acordocom os princípios forenses já explorados no item anterior deste artigo.Em nosso modelo, relacionado à fraude, em geral
a evidência estará relacionada a dispositivos analisados da vítima33, entretanto considerase importanteavaliar nesta mesma metodologia investigativa a necessidade de se adotar procedimentos similares noprocesso de análise de evidências coletadas de fraudadores suspeitos, que pode não se limitar somente aequipamentos de uso pessoal como computadores,dispositivos de armazenamento, podendo se estendertambém com a análise de evidências disponíveis emsistemas de correio eletrônico, navegação entre outros disponíveis em outros ambientes e/ou provedores que podem assegurar a rastreabilidade da ação dofraudador sobre uma vítima.O primeiro procedimento a ser adotado pelo perito
ao se deparar com a vítima de uma fraude é identificar por meio de depoimento34 o dispositivo ou equipamento35 utilizado pela vítima relacionado ao
Março 2012 • segurancadigital.info|53
29 O conteúdo da RFC 3227 pode ser acesso na íntegra em: http://www.ietf.org/rfc/rfc3227.txt30 O autor desconhece uma fonte confiável que disponibilize uma versão preliminar desta norma.31 RFC tem como acrônimo, as palavras Request for Comments. Hoje as RFCs são padrões aceitos pelo mercado de tecnologia.32 Esta norma está sendo desenvolvida por um fórum Intitulado FIRST, dentro de um grupo denominado SIG (Special Interest Groups).Mais dados podem ser obtidos no site http://www.first.org/.33 Outros elementos poderiam ser escolhidos na aplicação desta metodologia, entretanto, escolheuse identificação de evidências de vítimas, pois este em geral é o ponto inicial gerador de uma investigação, sendo que as evidências, neste caso, se encontram na maioriadas vezes disponíveis ao processo investigativo.34 Não é somente por depoimento que esta identificação é realizada, pois a identificação de evidências por meio de registros geradospor sistemas permite também a identificação de evidências. Quando se menciona depoimento, isto não significa que o processo também se baseará em algo somente descritivo. Há espaço neste depoimento o informe de detalhes da vítima informando detalhes que possam ser acessíveis aos sistemas informatizados apontados pela vítima e acessíveis no momento da prestação deste depoimento.35 Apesar de estes termos estarem no singular, isto não significa que os itens são excludentes, ou apenas um dos equipamentos devemser considerados no processo pericial. Devese considerar todo e qualquer equipamento ou dispositivo que tenha sido informado pelavítima. Na prática, a maioria dos usuários de meios informatizados, utilizam equipamentos em ambiente de trabalho e outro equipamento para uso de atividades particulares, mesmo que em muitos momentos estes equipamentos sejam disponibilizados por estabelecimentos públicos como cybercafés.
Análise da Evidência:
Método adotado para interpretar e identificarprovas contidas nas evidências preservadas; e
Apresentação dos Resultados da AnáliseForense:Método adotado para a geração de documentosque possibilitem a interpretação dos fatos identificados na etapa de análise de evidência, devidamente contextualizados à fraude.
PARCEIRO Data Security
serviço acessado, relacionado à ocorrência de fraude.Dentre os cenários36 que podem ser apresentados a vítima pode identificar dispositivos como:
Ainda pode se entender como computadores, dispositivos que tenham a capacidade de navegação à internet e realização de transações, se classificando
neste conjunto equipamentos como smartphones38 edemais dispositivos portáteis com a capacidade deconectividade, navegabilidade e processamento.Nem sempre a vítima saberá identificar os dispo
sitivos utilizados e nem sempre os dispositivos identificados podem ser periciados, pois alguns delespodem não terem autorização de seu proprietário para realização da coleta, algo que pode ocorrer quandoidentificado que uma das evidências se encontra disponível em ambiente de trabalho e não autorizadospelo proprietário do dispositivo39; ou mesmo impossibilitados de se realizar a coleta em função do custoque pode ser proibitivo40, relacionado ao deslocamento41 do perito ao local que se encontra a evidência a ser coletada, ou mesmo a inexistência demeios42 para fazer a extração das evidências comopode ocorrer em sistemas que o perito não possui tecnologia43 para a remoção das evidências em processode coleta.Na prática, diversas atividades investigativas rela
cionadas à fraude e alguns outros ilícitos não requerem que o perito realize esta tarefa, pois a evidênciamuitas vezes apresentada pelo perito já se encontradisponível para análise, não havendo a necessidadede sua participação nesta etapa do processo. Entretanto, é importante que o perito conheça a metodologia, pois este pode avaliar se outro profissional que
Março 2012 • segurancadigital.info|54
36 Estes cenários segundo experiência do autor permitiu identificar esta dicotomia, apresentada. Nada impede que variações possam serpropostas a esta classificação apresentada. Esta divisão no ponto de vista do autor facilita a adoção de medidas investigativas, pois premissas distintas são adotadas na investigação dos dois tipos de cenários apresentados.37 Devemos considerar locais como escolas, universidades, tele centros (centros informatizados disponibilizados pelo governo aos cidadãos) e computadores que mesmo destinados ao ambiente de trabalho ou mesmo destinados ao uso residencial particular contémcom uma única credencial de acesso, ou diversas credenciais de acesso, mas com direitos administrativos sobre o sistema operacional.Neste caso, mesmo que o acesso seja realizado por diversos usuários distintos, um programa de computador com finalidade maliciosa,como por exemplo, a captura de dados de uma vítima, pode se tornar ativo para todos os usuários do computador, mesmo que somenteum dos usuários tenha sido responsável por sua instalação acidental.38 Entendese como um dispositivo que apresenta as funcionalidades de um telefone celular com a integração de demais aplicativos aosistema operacional que podem estar relacionados à comunicação de dados, aplicativos de produtividade ao usuário, entretenimento,entre outros.39 Esta negação em relação à autorização pode ocorrer quando o equipamento a ser periciado tiver como justificativa, o uso essencialque pode colocar em prejuízo negócios ou prejuízo a pessoas, incluindo clientes, fornecedores ou funcionários.40 Consideramse como custo proibitivo, situações que a coleta de evidência requer, por exemplo, a aquisição de sistemas especializados para a replicação do mesmo ambiente que está sendo coletado. Oferecese como exemplo, sistemas especializados de armazenamentos de mídias como fitotecas e demais equipamentos que não fazem parte da tecnologia utilizada comumente pelos profissionais detodas as áreas como Mainframe (sistemas de grande porte especializado no processamento de informações quepossuem arquitetura operacional, além de hardware e software específicos para este processamento).41 No caso de custos relacionados ao deslocamento, estas limitações estão mais relacionadas a perícias que demandam existência detransporte regular ou adequado à localidade que requer a realização de perícia.42 Inexistência de meios pode ocorrer como a falta de infraestrutura adequada de energia elétrica, assim como dispositivos necessáriospara fazer coleta que não fazem parte do conjunto de ferramentas disponibilizado pelo perito.43 O perito pode não possuir tecnologia, como foi o caso mencionado de sistemas de armazenamento de fitas na nota de rodapé 40. Entretanto, o perito pode ser desprovido ainda de conhecimento teórico e prático de como se realizar a perícia em sistemas que ele não tenha familiaridade.
Computadores pessoais de uso exclusivamentepessoal:
Caracterizamse por meio de computadores deuso doméstico residencial ou uso profissionalem ambiente de trabalho que tem como característica o uso por apenas um usuário, neste caso uso exclusivo da vítima; e
Computadores pessoais de uso compartilhado:
Caracterizamse por meio de computadores deuso compartilhado. Em ambiente residencialeste dispositivo pode ser compartilhado entreseus familiares, em ambiente corporativo, compartilhado entre outros colegas de trabalho.Ainda podem surgir demais outros equipamentos compartilhados como aqueles disponibilizados em ambiente comunitários, sejam elesambientes acadêmicos, hotéis, cybercafés e demais estabelecimentos37 que destinam seusequipamentos para uso comum.
PARCEIRO Data Security
esteve presente na cena do crime seguiu todas as recomendações adotadas na metodologia, pois identificarfalhas nos processos de coleta pode significar a impugnação de uma evidência, podendo em alguns casos, ser considerada nula qualquer conclusão obtidano processo de análise forense.Considerase que uma vez que seja viável a coleta
de evidências, que esta se realize aos dispositivos reconhecidos pela vítima e demais membros presentesno processo investigativo na cena do crime e acessíveis ao processo de coleta, de tal forma que isto se baseie em dois pontos44 principais:
Março 2012 • segurancadigital.info|55
44 Estes pontos são considerados essenciais, pois diversas evidências somente são obtidas por evidências voláteis, apesar de se perceberna prática que o perito, em geral, irá obter somente para análise uma evidência coletada por outro profissional não tendo mais a possibilidade do resgate da evidência volátil.45 RandomAccess Memory. Forma de armazenamento volátil de dados composto por circuitos integrados.46 Processos são considerados programas em execução sobre o sistema operacional. Por meio da coleta de processos, é possível identificar características como local de execução do programa de computador e demais informações que sejam úteis na identificação deprogramas de computador destinados a obter dados e informações de computadores de vítimas.47 Consideramse como áreas temporárias aquelas que fazem o armazenamento em arquivo ou partição de conteúdos voláteis acessadospela memória do computador. Neste caso faz parte desta descrição, áreas de paginação, conhecidos também como áreas de swap.48A tabela de comunicação permite identificar entre outras coisas os processos em execução, atrelados a portas de comunicação abertase respectivos endereços IP externos ao computador utilizados para a troca de dados. Diversos programas destinados ao furto de informações estabelecem canais de comunicação permitindo que dados da vítima sejam enviados por meio deste método.49 Estas mídias podem ser óticas, magnéticas ou disponibilizadas em outros meios como papel.50 É fato que a maior parte das evidências analisadas por peritos são coletadas por outros profissionais, se encontrando disponível apenas o equipamento ou somente a mídia para os processos de preservação e análise da evidência.51 O acesso restrito pode ser dado ao se descobrir uma evidência como um computador ainda ligado com usuário autenticado no sistema operacional, mas com a tela bloqueada ao acesso. Apesar de esta ser uma dificuldade, é possível se utilizar de técnicas que fazem acaptura direta da memória RAM por resfriamento. Exemplo desta técnica pode ser consultado por meio de um trabalho acadêmico intitulado “Cold Boot Attacks on Encryption Keys”, disponibilizado pela Universidade de Princeton por meio dolink: http://citp.princeton.edu/memory/.
Coleta de evidências voláteis:
Visa coletar características da evidência, quando este se encontra operacional. Dentre estascaracterísticas se incluem a coleta de dados damemória RAM45, coleta de processos46, áreastemporárias47 e comunicações estabelecidas entre a máquina da vítima e o ambiente de rede48:e;
Coleta de evidências não voláteis:
Visa coletar os dispositivos de armazenamentoda evidência, onde se incluí disco rígido e mídias disponibilizadas49 pela vítima.
As evidências em processo de análise de fraude,muitas vezes não se encontram disponíveis na formade evidências voláteis, já que diversos equipamentose dispositivos coletados, podem se encontrar desligados50 ou com acesso restrito51 a usuários que conhe
çam as credenciais de acesso.
CCoonntt iinnuuaa nnaa pprróóxx iimmaa eeddiiççããoo......
PARCEIRO Data Security
Na primeira parte deste artigo nós falamos um pouco sobre ataques que ocorrem diariamentena websites que utilizam CMSs convencionais, tais
como Xoops, WordPress, Joomla, WHMCS e tantos outros. Isto ocorre geralmente pelo fato do sistema estar emuma versão desatualizada e, portanto, vulnerável sim,quanto maior o número de usuários de um sistema, maiora possibilidade de se descobrirem novos bugs e por isto,as constantes atualizações periódicas ou por estes sistemas estarem utilizando plugins comprometidos, obtidosem fontes não seguras ou simplesmente vulneráveis, comofoi o caso de aplicativos que usam o script TimThumb desatualizado mostrado anteriormente.Nesta parte, vamos falar do lado não tão glamuro
so da força: os CMS pessoais. Mas o que são estes sistemas? Nós geralmente chamamos de CMS pessoais,todo e qualquer sistema que não possui uma comunidade tão abrangente quanto a de CMS convencionais,são os famosos sistemas "por demanda", tão comumente utilizados por algumas empresas que planejamdisponibilizar seus serviços na grande rede sem recorrer a um sistema de terceiros. Legal, tá tudo muitobom, tá tudo muito bonito, mas onde estão os problemas?O grande problema neste tipo de sistema é justa
mente a falta de uma comunidade abrangente. Querum motivo? A demanda destes sistemas geralmente éfocada na rapidez da entrega, quanto mais rápido umserviço for ao ar, melhor, mas e a segurança, onde fica? Quando um sistema tem seu desenvolvimento focado apenas na rapidez da entrega ao cliente,geralmente são esquecidas algumas etapas importantes no quesito segurança. O sistema "beta" não é testado em condições abusivas e na maioria dos casos,sobem com bugs que são facilmente explorados porexploits convencionais e consequentemente, causando transtorno a empresa que optou por utilizar um sistema ainda prematuro.Diariamente nós encontramos uma grande quanti
dade de graves falhas de segurança, algumas delas, inclusive básicas, tais como scripts de gerenciamentode sistema/upload de arquivos sem autenticação, utilização de funções antigas e com falhas de segurançaconhecidas na programação dos scripts, senhas fáceis, senhas sendo armazenadas de forma inseguraem bancos de dados (quando estes são usados) ou emarquivos de texto plano acessíveis para a web.Recomendamos a todos que utilizam este ramo de
sistemas a testarem os mesmos exaustivamente a fimde verificar se todos os quesitos de segurança são devidamente correspondidos e que nenhuma etapa durante o desenvolvimento seja deixada para o lado.Lembremse, é melhor um serviço demorar um pouco mais a ser ativado e quando entrar em produçãoser um sistema seguro, do que um sistema ir "ao ar"rapidamente e possuir uma série de falhas de segurança que podem comprometer não só as informações de seus clientes, como também pode denegrir aimagem de sua empresa diante do seu público alvo.
Março 2012 • segurancadigital.info|56
PARCEIRO HostDime
Desafios da Gestão de Segurança em ServidoresCompartilhados (Parte II)»
Escrito por Renê BarbosaAnalista de Segurançana HostDime Brasil.
OCompactHSM é um Módulo de Segurança emHardware (do inglês, “Hardware Security Module”) de alto desempenho com interface USB, que
oferece uma solução de baixo custo para aplicações de certificação digital e criptografia em geral usualmente baseadas em tokens ou smartcards, ressaltando a totalcompatibilidade em ambientes virtualizados.Os processos de certificação digital, tais como a
gestão eletrônica de documentos e a emissão de notasfiscais eletrônicas, criaram uma demanda por dispositivos criptográficos de alto desempenho, alta segurança e baixo custo. Contudo, os dispositivoscriptográficos disponíveis no mercado foram projetados para suprir necessidades específicas de outros tipos de soluções, por exemplo, tokens e smartcardsresolvem problemas de identificação, enquantoHSMs comuns resolvem problemas de PKI e placasaceleradoras criptográficas resolvem problemas de conexões SSL.O CompactHSM foi criado para suprir a necessida
de específica de soluções de certificação digital quenecessitam de alto desempenho e segurança, mas quenão necessitam de funcionalidades avançadas de gerência de chaves.
PPrr iinncc iippaaiiss CCaarraacctteerr ííss tt ii ccaassO CompactHSM também é extremamente escalá
vel, permitindo a integração de mais de um equipamento à solução, e garantindo a continuidade donegócio através de mecanismos de backup por espelhamento e hot swap. O CompactHSM pode ser usado, em integração a sistemas, para:Proporcionar alto desempenho para assinatura e ci
fração em quaisquer aplicações que utilizem APIsPKCS#11, CSP ou JCA;Gerar e armazenar chaves de certificados ICPBra
sil A1 ou A3;Proporcionar fácil esquema de backup/recuperação e balanceamento de carga;Cifração de comunicações / links seguros.
PPrr iinncc iippaaiiss BBeenneeff íícc iioossAlto desempenho (até 200 assinaturas RSA por se
gundo);Conectividade USB v2.0;Armazenamento seguro de chaves criptográficas;Permite instalação interna em servidores ou com
putadores desktop;
Permite o uso em notebooks;Permite distribuição de carga e replicação;APIs padrão de mercado PKCS11, CSP, JCA;Proteção física avançada;Permite uso em servidores virtualizados;Compatível FIPS PUB 1402, ICPBrasil e PCI;Desenvolvimento 100% nacional e arquitetura
100% auditável;Permite customização sob demanda;Gerador de números aleatórios (TRNG) e Relógio
de Tempo Real (RTC) em hardware;Custo altamente competitivo (consultas: conta
to@kryptus.com).
SSoobbrree aa KKrryyppttuuss ((hhtt ttpp:: ////wwwwww..kkrryyppttuuss..ccoomm//))Empresa 100% brasileira, fundada em 2003 na ci
dade de Campinas/SP, a Kryptus já desenvolveu umagama de soluções de hardware, firmware e softwarepara clientes Estatais e Privados variados, incluindodesde semicondutores até aplicações criptográficasde alto desempenho, se estabelecendo como a líderbrasileira em pesquisa, desenvolvimento e fabricaçãode hardware seguro para aplicações críticas.Os clientes Kryptus procuram soluções para pro
blemas onde um alto nível de segurança e o domíniotecnológico são fatores fundamentais. No âmbito governamental, soluções Kryptus protegem sistemas,dados e comunicações tão críticas como a Infraestrutura de Chaves Públicas Brasileira (ICPBrasil), aUrna Eletrônica Brasileira e Comunicações Governamentais.
Março 2012 • segurancadigital.info|57
PARCEIRO Kryptus
AA KKrryyppttuuss llaannççaa nnoo mmeerrccaaddoo ooeeqquuiippaammeennttoo CCoommppaaccttHHSSMM»
VVííttoo rr ((nnoo SSii ttee))Parabéns pela revista, eu que estou terminando a graduação e pretendo seguir na área de segurança da informação, estou gostando demais, pois os artigossão sempre muito bons e bem feitos!
JJoosséé SSii ll vvaa ((nnoo SSii ttee))Estava estes dias a conversar com o Fábio (adm), efalei que séria ótimo a inserção de tutoriais em edições futuras e ainda neste email sugerir um tutorialsobre SSH e quando foi ontem recebi um email doFábio falando que já na 5ª edição séria publicadoum artigo conforme meu pedido. Muito obrigado!
DDaattaa SSeeccuurr ii tt yy ((nnoo TTwwii tt tteerr ))@_SegDigital Parabéns! Que venham os 32, 64,128 mil downloads da Revista Segurança Digital!
FFiinnddeeii ss ,, AA.. ((nnoo TTwwii tt tteerr ))@_SegDigital: muito bacana a revista. Equipe do Segurança Digital está de parabéns! Ótimas reportagens!
YYuurr ii DDiiooggeenneess ((nnoo TTwwii tt tteerr ))Começando a escrever o artigo sobre #Segurançaem Cloud Computing p/ a 5a. Edição da Revista@_SegDigital, obrigado @_SDinfo pelo convite !
DDiieeggoo FFeerr rreeii rraa JJoobb ((nnoo TTwwii tt tteerr ))Agora seguindo a Revista @_SegDigital Recomento galera!!!
MMaarrccooss TT.. SSii ll vvaa ((ppoorr EEmmaaii ll ))Boa noite!Procurando por sites de segurança encontrei o segurança digital, então resolvi ler a primeira edição darevista. Acabei lendo as 4 edições. Quero parabenizálos pelo projeto e que continuem publicando vossas experiências e assim nós leitores teremos bonsconteúdos sobre segurança. Em particular a parteforense foi ótima e muito explicativa.
HHeennrr ii qquuee MMoott ttaa ((ppoorr EEmmaaii ll ))Primeiramente gostaria de parabenizálos pelas edições anteriores e em especial a 3ª edição da revista"Segurança Digital". Como um profundo conhecedor na área da computação e interessado pela áreada segurança estou procurando me aperfeiçoar na"arte" da segurança da informação realizando cursose lendo materiais de fontes confiáveis (como vocês).
PPaauu lloo ((ppoorr EEmmaaii ll ))Equipe Segurança Digital, parabéns pelo trabalhode vocês. Sou um apaixonado por tecnologia, emespecial pela área de segurança. Passei a conheceresta revista por um amigo que me indicou e recomendou muito bem sua leitura, sucesso para vocês emais uma vez parabéns pela iniciativa.
|58
COLUNA DO LEITOR
EMAILS,SUGESTÕES ECOMENTÁRIOSEsta seção foi criada para quepossamos compartilhar com você leitor,o que andam falando da gente por aí...Contribua para com este projeto:(contato@segurancadigital.info).
Março 2012 • segurancadigital.info
Segurança Digital5ª Edição Março de 2012
@_SegDigital segurancadigital
www.segurancadigital.info
top related