aula 01 src final

Curso: SEGURANÇA EM REDES DE COMPUTADORES

Conteudista: Luis Claudio dos Santos

AULA 01

Introdução e conceitos básicos essenciais

Esperamos que você, ao final desta aula, seja capaz de:

1) Explicar princípios básicos da segurança da informação.

2) Reconhecer os principais ataques e vulnerabilidades em redes.

3) Identificar as principais ameaças baseadas em códigos maliciosos.

Pré-requisitos

Como pré-requisitos para esta aula você deverá ter conhecimentos no mínimo acadêmicos

sobre redes de computadores (topologias, arquiteturas, funcionamento da internet,

protocolos da pilha TCP/IP, equipamentos de interconexão, endereçamento IP, serviços com e

sem conexão, entendimento dos campos dos cabeçalhos TCP, IP e UDP, conceito de software e

firmware etc.).

1. Um panorama de Segurança da Informação

Você já se perguntou como anda a segurança do computador que você utiliza

diariamente? Talvez você esteja lendo este conteúdo em um computador. Ele está livre de

vírus, worms, spywares e outras pragas virtuais? Na atualidade, a segurança da informação é,

sem dúvida, um dos assuntos mais atraentes dentro da área de Tecnologia da Informação.

Porém, é uma área de difícil limitação, pois há vários aspectos a serem abordados. Neste curso

buscamos tratar principalmente da segurança em redes de computadores; começaremos

estudando as principais ameaças e vulnerabilidades conhecidas.

Antes, é necessário ressaltar que a diferença que fazemos aqui entre a segurança de

redes de computadores e a segurança relacionada ao desenvolvimento de software não

reflete, na prática, uma fronteira perfeita entre as duas áreas. Isso porque, na quase totalidade

dos casos, as pessoas dependem de sistemas que, por definição, são compostos por hardware,

software, pessoas e procedimentos interligados; todos suscetíveis a vulnerabilidades que

possam ser exploradas.

Como se não bastasse, o nível de complexidade dos sistemas e a interdependência

entre sistemas distintos são cada vez maiores. Bruce Schneier, criador de diversos protocolos

de criptografia (alguns que estudaremos nas aulas sobre esse assunto), cita uma frase

interessante em um de seus livros: “A vida era simples antes da Segunda Guerra. Depois dela,

nós passamos a ter os sistemas”. Essa é sem dúvida uma frase cada vez mais verdadeira em

todos os aspectos. Mas até onde devemos ir para nos proteger contra as ameaças virtuais?

Com o avanço da importância da TI para as organizações, os dados que trafegam nas

redes de computadores têm se tornando cada vez mais importantes. Essa tendência tem

aumentado também a importância que a segurança da informação exerce no contexto das

redes de computadores. Nesta aula vamos estudar as principais ameaças e vulnerabilidades

existentes nesse cenário moderno que envolve a segurança da informação.

2. Risco em Segurança da Informação

Toda a questão do estudo da segurança de informação diz respeito ao entendimento

do conceito de risco (ou, melhor, do grau de criticidade do risco) e da proteção dos ativos. No

final, as decisões serão baseadas na relação custo-benefício (como quase tudo na vida).

Estudaremos bem melhor a aplicação desses conceitos nas aulas sobre as normas das famílias

ISO 27000 e ISO 15999. Por ora, vamos apenas definir alguns conceitos básicos essenciais.

• Ativo

Para a norma ISO 27001, ativo “é qualquer coisa que tenha valor para a

organização”. Vamos adotar essa definição, pois é a empresa quem determinará as

necessidades com relação aos critérios de segurança da informação.

• Ameaça

Uma ameaça é qualquer pessoa, entidade, código malicioso etc. que possa ter

motivação para explorar uma vulnerabilidade. A motivação é relativa, pois depende da

percepção de valor da informação do ponto de vista do atacante. Para a ISO 27002,

ameaça é a “causa potencial de um incidente indesejado que possa resultar em dano

para um sistema ou organização”.

• Vulnerabilidade

São erros em sistemas que podem ser devidos a softwares, a hardwares, a

processos organizacionais que o utilizam ou mesmo devidos a operadores humanos.

Na ISO 27002, encontramos a seguinte definição: “vulnerabilidade é uma fragilidade

de um ativo (ou grupo de ativos) que pode ser explorada por uma ou mais ameaças”.

• Probabilidade do risco

Caracteriza-se pela possibilidade de uma ameaça explorar uma vulnerabilidade a

fim de comprometer um ou mais princípios da segurança.

• Impacto

É o grau de dano que pode ser causado a um ativo quando uma ameaça potencial

explora uma vulnerabilidade existente em um sistema. O dano é relativo, pois depende

da percepção de valor da informação do ponto de vista de seus proprietários.

• Criticidade do risco

A criticidade é diretamente proporcional à probabilidade de o risco se confirmar e

do impacto caso ele se confirme. Perceba que nem todo risco altamente provável é

crítico, pois ele pode ter impacto muito pequeno; por outro lado, nem todo risco de

alto impacto é crítico, pois ele pode ser muito pouco provável. Note ainda que a

criticidade depende de três fatores: das ameaças e vulnerabilidades – que determinam

a probabilidade do risco – e do seu impacto.

Figura 1.1: A criticidade do risco ajuda a definir até onde se deve ir para proteger um ativo.

Ilustração, por favor, redesenhar essa imagem. Diagramação, por favor, colocar a imagem do

lado direito do parágrafo anterior.

• Risco

O risco é definido pela própria definição de seu grau de criticidade do risco. Um

risco alto é um risco que tem grau de criticidade alto (probabilidade versus impacto). A

própria norma ISO 27001 define risco como “combinação da probabilidade de um

evento e de suas consequências”.

• Incidente

A ISO 27001 define incidente como “um simples ou uma série de eventos de

segurança da informação indesejados ou inesperados, que tenham uma grande

probabilidade de comprometer as operações do negócio e ameaçar a segurança da

informação”.

• Evento

Também de acordo com a ISO 27001, trata-se de “uma ocorrência identificada de

um estado de sistema, serviço ou rede, indicando possível violação da política de

segurança da informação, falha de controles ou uma situação previamente

desconhecida que possa ser relevante para a segurança da informação”.

Note que um evento de segurança da informação é tudo o que mereça investigação

por parte dos responsáveis pela segurança da informação. Porém, pela própria definição da

norma, nem todo evento é um incidente de segurança da informação (mas todo incidente é

um evento...). Além disso, o diagnóstico de um incidente de segurança depende grandemente

da existência de uma política de segurança da informação na empresa.

3. Princípios da Segurança da Informação

Você viu que as ameaças podem explorar vulnerabilidades para comprometer um ou

mais princípios da segurança da informação. Quais seriam esses princípios? Existem três

princípios básicos e outros dois princípios relacionados à certificação digital que serão citados

recorrentemente em todas as nossas aulas.

Figura 1.2: Fluxo normal da informação.

Diagramação, por favor, refazer este esquema. Deixá-lo, central ao texto.

Box de atenção

Qualquer solução que vise a implementar a segurança em uma rede deve garantir a não

violação destes princípios.

Fim do box de atenção

Os três princípios essenciais são: a confidencialidade, a integridade e a disponibilidade

da informação.

• Confidencialidade

Por este princípio, a informação deverá ser acessada apenas pelas pessoas que

têm permissão de acesso legítimo. Cuidado, pois a confidencialidade não significa,

obviamente, que a informação “não pode ser visualizada”. Ora, é claro que pode!

Porém, apenas pelas pessoas autorizadas a fazê-lo.

Figura 1.3: A perda da confidencialidade pode acontecer por interceptação.

Diagramação, por favor, refazer este esquema e mantê-lo ao lado direito do texto.

Todo ataque de leitura ou análise da informação é um ataque que visa a

corromper a sua confidencialidade. Podemos dar com exemplos os ataques do tipo

phishing, sniffing e engenharia social, que normalmente têm como objetivo

comprometer a confidencialidade da informação. Estes ataques serão discutidos

mais adiante, ainda nesta aula.

• Integridade

Uma informação íntegra é aquela que preserva todas as suas características desde

a sua origem legítima até o seu destino legítimo. Ou seja, entre duas partes que se

comunicam não existe nenhuma possibilidade de que a informação seja alterada

dentro do canal de comunicação, quer pelo acréscimo, quer pela supressão de dados.

O canal de comunicação é o meio por onde a informação trafega.

Figura 1.4: A perda da integridade pode acontecer por modificação.


Vale ressaltar que os ataques à integridade da informação podem ser baseados na

sua modificação ou na sua repetição. Ataques do tipo “homem-no-meio”

normalmente procuram corromper a integridade da informação, às vezes pela

repetição, às vezes pela modificação. O ataque do tipo “homem-no-meio” será visto

em nossas aulas sobre criptografia.

• Disponibilidade

A disponibilidade da informação é a característica que determina que a informação

tem de permanecer disponível aos seus usuários legítimos sempre que ela for

necessária. É interessante observar que a disponibilidade da informação pode ser

afetada por vários motivos (critérios de capacidade, disponibilidade e continuidade dos

sistemas etc.).

Figura 1.5: A perda da disponibilidade pode acontecer por interrupção.


No que diz respeito à segurança, qualquer ataque que vise à interrupção da

informação é um ataque à sua disponibilidade. Esses ataques são conhecidos como

ataques de negação de serviço (DoS). Um atacante pode tornar a informação

indisponível sem necessariamente ter acesso ilegítimo a ela (confidencialidade) ou

modificá-la indevidamente (integridade).

Início da Caixa de Verbete

DoS (denial-of-service) - A norma ISO 27002 define DoS como “impedimento do acesso

autorizado aos recursos ou retardamento de operações críticas por um certo período de

tempo”. Explicaremos melhor este ataque ainda nesta aula.

Fim da Caixa de Verbete

Além desses três princípios mais tradicionais, há outros dois princípios que normalmente

também são citados, principalmente com o advento das soluções de certificação digital

baseadas de criptografia. Trata-se da autenticidade e do não repúdio.

• Autenticidade

O princípio da autenticidade visa a garantir para o receptor de uma mensagem que

ela realmente pertence ao emissor legítimo da comunicação. De certa forma, a

autenticidade implica integridade, pois, se uma mensagem é alterada no canal de

comunicação, o autor da nova mensagem é o atacante e não mais o emissor legítimo.

Entretanto, a bibliografia (e o próprio mercado) trata esses princípios isoladamente

porque ambos dependem de técnicas e ferramentas distintas para a sua garantia.

Ataque de fabricação e ataques de repetição são formas de corromper a

autenticidade da informação. Você verá esses ataques em nossas aulas sobre

criptografia.

Figura 1.6: A perda da autenticidade pode acontecer por fabricação.


• Não repúdio

Também conhecido como princípio da “irretratabilidade”. Com relação à

autenticidade, o princípio da irretratabilidade é o que de certa forma podemos chamar

de “o outro lado da moeda”. A informação irretratável é aquela cujo autor não pode

negar a sua autoria sem negar a própria efetividade de todo o sistema de segurança.

Em outras palavras: partindo do princípio de que o sistema não foi completamente

violado e corrompido, autenticidade implica não repúdio e vice-versa. Você irá estudar

bem essas duas ideias nas aulas que tratam de criptografia.

Ok. Então, podemos dizer que a autenticidade garante ao receptor que o texto de

uma mensagem pertence a quem, de fato, está assinando-a. Ao mesmo tempo, a

irretratabilidade garante que o emissor, cuja assinatura consta da mensagem, não

pode negar que ele próprio a emitiu.

Além dos princípios vistos anteriormente, algumas bibliografias citam o controle

de acesso como um novo princípio da segurança da informação. Vamos descrever esse

conceito aqui, mas não como um novo princípio.

• Controle de Acesso

Trata-se, na verdade, de uma descrição de meios para garantir que os princípios da

segurança da informação sejam atendidos. Os meios estariam baseados em algo que

você sabe, algo que você possui e em algo que você é. Ou seja:

o São exemplos de algo que “você sabe”: uma senha, uma frase, uma chave

simétrica, uma chave assimétrica etc.;

o São exemplos de algo que “você possui”: um cartão inteligente (smart

card), um token (pen drive, cartões de memória etc.), um certificado digital

etc.;

o Finalmente, algo que “você é” está ligado às modernas soluções de

biometria (leitor de impressão digital, leitura da íris, reconhecimento de

voz etc.).

Ilustrador, favor desenhar um personagem acessando um sistema e tendo que

fornecer pen drive, smart card etc.; tendo sua íris e sua palma da mão sendo lida; e

tendo que digitar uma senha (com outra mão) etc.

É fácil perceber que tudo isso, na verdade, visa a garantir os princípios que citamos até

o momento e não se trata de mais um princípio da segurança da informação. Desse modo, em

nossas aulas vamos nos referir aos princípios da segurança da informação como sendo cinco:

confidencialidade, integridade e disponibilidade, além da autenticidade e do não repúdio. De

qualquer modo, agora você já sabe também o que vem a ser o controle de acesso!

Início da Atividade

Atividade 01 - Objetivo 01

Uma informação criptografada é interceptada em uma rede privada por um atacante

que conseguiu se conectar fisicamente aos seus equipamentos. O atacante não consegue ler a

informação, mas ele sabe que ali está o usuário e a senha utilizados pelo administrador ao se

conectar a um banco de dados. Mais tarde, ele próprio tenta se conectar ao banco enviando o

mesmo pacote capturado com os dados do administrador do banco. Quais princípios da

segurança foram violados nessa situação hipotética?

Quantidade de Linhas: Deixar 06 linhas.

Resposta comentada

A situação descrita se trata de um ataque de repetição. Com relação aos princípios,

não houve perda de confidencialidade, pois o atacante não conseguiu ler os dados do

administrador. Também não houve perda de integridade ou de disponibilidade. O problema

aqui foi a perda da autenticidade da informação. Estudaremos melhor esse caso nas aulas

sobre criptografia.

Fim da Atividade

4. O Cenário Atual

Na prática, o mundo está mudando muito e as novas tecnologias têm impulsionado

essas mudanças. A nossa sensação de insegurança aumenta cada vez mais. Devemos antes nos

lembrar de que a forma pela qual obtemos acesso às informações do cotidiano tende a ser

muito tendenciosa. A manchete “Acidente grave com duas vítimas” chama muito mais a

atenção (e por isso tende a ser repetida milhares de vezes) do que a manchete “A maioria das

pessoas teve hoje um dia completamente normal”.

Aonde estamos querendo chegar? Ora, qual das duas notícias você se lembra de ter

lido ou ouvido em algum lugar: “Gênio de 14 anos de idade invade sistema super protegido da

empresa X” ou “Administrador da empresa X não instala atualizações básicas, deixando

sistema completamente vulnerável”?

Boa parte da “genialidade” atribuída aos ataques feitos no mundo digital se deve

muito mais ao fato de que há um monte de administradores que não fazem o mínimo pela

segurança de suas redes e de seus sistemas. Não vamos aqui discutir as razões que levam a tal

comportamento, pois elas variam muito de organização para organização e dependem de uma

série de motivos (algumas podem até mesmo ser consideradas legítimas – dependendo do

contexto –, tais como excesso de trabalho, falta de investimentos etc.).

Nosso foco é estudar as várias formas de manter afastada a maioria das ameaças

utilizando as técnicas e ferramentas disponíveis, rápidas e simples de serem aplicadas. Por

outro lado, existem, sim, grandes ameaças, como pessoas com extrema capacidade intelectual

e motivação suficiente para dedicar seu tempo e suas habilidades à invasão de uma rede (mas

são exceções à regra). Para esse tipo de ameaça também há técnicas e ferramentas

disponíveis, embora elas não sejam, neste caso, necessariamente rápidas e simples.

Ok. Você pode estar pensando que, embora não existam tantos gênios com tempo e

motivação para atacar a sua empresa, a sua rede vive sendo alvo de ataques e alguns deles

dão, sim, um certo “trabalho”. Nesse ponto é imprescindível que você entenda o cenário atual,

dentro do qual estudaremos a segurança de redes.

Esse cenário fica bem claro quando estudamos apenas quatro características inerentes

às redes de computadores. Vamos a elas.

• Automação

Um ataque que seria iniciado a partir de uma única máquina hoje pode acontecer

de forma distribuída utilizando dezenas, centenas ou mesmo milhares de máquinas

para fazer em alguns minutos o que uma única máquina poderia levar anos. A

automação tornou o DES obsoleto um pouco antes do previsto. A partir de 1996, esse

padrão começou a ser quebrado através de força bruta em tempo cada vez menor e

com cada vez menos investimentos, por meio de esforços conjuntos envolvendo

milhares de máquinas espalhadas pela internet.

Figura 1.7: O grau de automação multiplica o poder do atacante.

Diagramação, por favor, deixar essa imagem ao lado esquerdo do parágrafo anterior.

Ilustração, por favor, refazer essa imagem de forma que as setas tenham o sentido do

computador para a torre.

Início da Caixa de Verbete

DES (Data Encryption Standard) - foi o primeiro padrão de criptografia simétrica

utilizado largamente e adotado pelo governo norte-americano como padrão de seus sistemas

criptográficos. Foi inventado por um pesquisador da IBM, Horst Feistel, em 1976. O DES utiliza

chaves de 56 bits e cifra blocos de texto em claro com 64 bits de tamanho. O processo de

cifragem envolve 16 etapas (rounds), em que os bits são substituídos, permutados ou

combinados com subchaves de 48 bits.

Fim da Caixa de Verbete

Início da caixa de curiosidade

Os DES Challenges foram uma série de ataques combinados de força bruta promovidos

pela empresa RSA Security com o propósito de ressaltar a insegurança crescente do DES.

Consistia basicamente em oferecer um texto simples cifrado com o DES. O primeiro desafio

começou em janeiro de 1997 e foi solucionado em 96 dias.

O segundo desafio (DES Challenge II-1) aconteceu no início de 1998 e foi solucionado

em 41 dias. A frase era: “The secret message is: Many hands make light work”.

O terceiro desafio (DES Challenge II-2) foi solucionado em apenas 56 horas, em julho

de 1998, pela empresa Electronic Frontier Foundation (EFF) com uma máquina desenvolvida

especialmente para esse fim (o Deep Crack). A propósito, o prêmio pago pelo desafio era de

US$ 10.000; o Deep Crack havia custado US$ 250.000 para a EFF. O texto revelado foi: “It's

time for those 128-, 192-, and 256-bit keys”.

O quarto desafio (DES Challenge III) foi resolvido em apenas 22 horas, em janeiro de

1999. O texto era: “See you in Rome (second AES Conference, March 22-23, 1999)”. Essa frase

já fazia referência à conferência que iria tratar de um substituto para o DES.

Fim da caixa de curiosidade

• Ação a distância

Um produto do avanço da internet é o fato de que ela não conhece limitações ou

barreiras físicas. Distâncias intercontinentais são vencidas quase à velocidade da luz

(literalmente). Dependendo dos meios de que dispõe um atacante, isso lhe torna

perfeitamente possível explorar vulnerabilidades de redes que estejam em outros

países (ou continentes) como se elas fizessem parte da sua rede local. Por outro lado, o

poder público responsável por reprimir e punir tais práticas no “mundo real” não

encontra tantas facilidades. Claro, é perfeitamente possível identificar a origem e até

mesmo a identidade do malfeitor em muitos casos. Mas o que fazer quando o

indivíduo mora do outro lado do mundo?

• Anonimato

Você já ouviu aquele ditado que diz que “a ocasião faz o ladrão”? No mundo

digital, muitos desavisados possuem a impressão de anonimato, e isso acaba os

atraindo para a marginalidade e a prática de crimes pela internet. Basta verificar

quanta gente não estaria disposta a entrar em uma locadora e sair com um filme em

DVD debaixo do braço, mas, por outro lado, quantos já praticaram o mesmo ato

“baixando” o vídeo pela internet. O crime é o mesmo, embora a tipificação (agravantes

e atenuantes) seja específica.

Diga-se de passagem, para todos os crimes de internet, que não só existe a

possibilidade de identificação da origem como a jurisprudência tem aplicado as

mesmas punições já adotadas nos casos tradicionais.

Figura 1.8: A sensação de anonimato aumenta a motivação do atacante.

Diagramação, por favor, redesenhar a imagem seguindo o projeto gráfico do curso. Deixar ao

lado direito do texto anterior.

• Colaboração

Com o advento das redes de computadores e, principalmente, da

intercomunicação dessas redes pela internet, ficou muito mais fácil compartilhar

informações. Esse é um dos maiores problemas para os administradores atualmente.

Hoje, uma pessoa pode descobrir vulnerabilidade em um sistema operacional; horas

(ou minutos) depois, outra pessoa pode já ter desenvolvido um programa que

automatiza a exploração dessa vulnerabilidade (exploit). E, quase instantaneamente,

centenas de outras pessoas começarão a utilizar e compartilhar o novo exploit para

atacar servidores em todo o mundo. A propagação é muito rápida e é um desafio à

velocidade dos administradores para adotar contramedidas.

Um ataque pode ser descrito em duas etapas de ações do atacante:

o Tentar obter informações sobre vulnerabilidades na rede a ser atacada;

o Tentar explorar as vulnerabilidades encontradas.

Vamos partir desta ideia básica para dividir nosso estudo sobre as vulnerabilidades em

duas partes, nas próximas duas seções.

5. Técnicas de coleta de informações

Nesta seção vamos listar e explicar resumidamente as principais formas de coleta de

informações; na próxima seção trataremos dos programas que normalmente são usados para

explorar as vulnerabilidades encontradas (chamados na literatura de “códigos maliciosos”).

Como já dissemos, esse tema é complexo e nem sempre é possível realizar uma classificação

simples e definitiva. Assim, é claro que existem códigos maliciosos que permitem, além de

explorar vulnerabilidades, coletar informações sobre uma rede ou sistema invadido. Por outro

lado, há técnicas usadas para coletar informações que já pressupõem um grau de

comprometimento mínimo da rede e dos sistemas.

Você pode perceber tudo isso durante as explicações. Portanto, fique atento!

• Engenharia social

Esse método é o que envolve menos conhecimento técnico sobre rede e sistemas.

E, por incrível que possa parecer, é o que tem maior potencial para transpor qualquer

sistema de segurança, por mais recursos que tenham sido gastos nele.

Este ataque faz uso da persuasão, explorando a ingenuidade ou a confiança do

usuário para obter informações que podem ser utilizadas posteriormente para violar a

segurança de redes ou sistemas. Kevin Mitnick dizia que as pessoas tendem a dar

todas as respostas se você fizer as perguntas corretamente. Assim, de que vale todo o

investimento em firewalls, criptografia etc., se as senhas dos usuários são

compartilhadas abertamente entre si?

Início da Caixa de Curiosidade

Kevin David Mitnick nasceu em 1973 na Califórnia, EUA. Desde a sua adolescência

já praticava delitos e durante tosa a sua vida invadiu sistemas de operadoras de celular

e de empresas de tecnologia. Foi preso algumas vezes. Na última vez, em 1995, já

mundialmente conhecido, ficou preso por cinco anos, sendo libertado sob condicional

após pagar fiança milionária. Hoje Kevin se diz “regenerado” e trabalha na sua própria

empresa, a Mitnick Security Consulting (www.mitnicksecurity.com/), além de atuar

como palestrante e conferencista em todo o mundo. Sua vida foi registrada em

documentários, filmes e em dois dos livros mais vendidos no mundo sobre engenharia

social: The Art of Intrusion e The Art of Deception.

Fim da Caixa de Curiosidade

• Phishing

Neste tipo de fraude o atacante envia mensagem não solicitada para a vítima,

tentando fazer com que a comunicação se passe por uma informação legítima de uma

instituição financeira conhecida, um órgão do governo, uma empresa multinacional,

um site popular etc. Normalmente a mensagem possui links que levam a páginas

falsificadas muito parecidas com a página original da instituição mencionada. É

importante, para efeito de classificação dos ataques, ressaltar que esse tipo de ataque

sempre solicita algum tipo de ação da vítima no sentido de que ela insira informações

sensíveis em um formulário ou que as retorne por e-mail.

Figura 1.9: Phishing é uma técnica que apela para a engenharia social.

Ilustração, por favor, refazer a imagem com os traços do projeto gráfico do curso. Manter ao

lado direito do texto.

• Packet sniffing

Sniffer de pacotes (também chamados de analisadores de protocolos) são

ferramentas que permitem capturar quadros que circulam nas redes e analisá-los em

busca de informações. É possível capturar dados que trafegam em claro (até mesmo

usuários e senhas), obter informações sobre uma sessão através da análise de

cabeçalhos e deduzir outras características a partir do tipo de tráfego (horários de

pico, tipos de pacotes, quantidade de endereços e de conexões etc.).

A máquina onde o sniffer está sendo executado precisa estar conectada em um

equipamento de interconexão que opere em modo promíscuo. No caso de switches, o

administrador precisará configurar uma de suas portas para espelhar todos os quadros

que passarem pelas outras portas do switch. No caso de um atacante, há ataques

documentados chamados MAC flooding que visam a limitar a capacidade de um switch

de manter íntegra e operacional a sua tabela de comutação. Isso faz com que o

equipamento opere como se fosse um hub, ou seja, envie todos os quadros que

entram por uma porta para todas as outras portas.

Início da Caixa de multimídia

O TCPDump (www.tcpdump.org), o Ethereal (www.ethereal.com/) e o Wireshak

(www.wireshark.org/) são três dos mais conhecidos exemplos de analisadores de protocolo.

Essas ferramentas são utilizadas não só por potenciais atacantes, mas também pelos

administradores de sistemas que desejam obter informações sobre a rede. Embora a operação

de um sniffers ideal seja passiva e silenciosa, na prática todos eles acabam enviando para a

rede alguns pacotes em situações bem específicas, e essas características peculiares permitem

a sua identificação através de técnicas conhecidas como anti-sniffing. A maioria dos bons IDSs

(Intrusion Detection Systems) implementa técnicas de detecção de sniffers em funcionamento

em uma rede. Estudaremos os IDSs na Aula 4.

Fim da Caixa de multimídia

• Port Scanning

Esta técnica, também chamada de varredura de portas ou mesmo scanning de

portas, é utilizada por atacantes que queiram identificar serviços que estejam

liberados na rede ou no sistema. Existem várias ferramentas disponíveis na internet

para essa finalidade, desde as mais simples e gratuitas até as mais avançadas e

proprietárias. Não há como impedir a identificação de uma porta aberta, pois o

scanning de portas emite ao serviço solicitações de conexão que são semelhantes às

solicitações enviadas por clientes legítimos.

Ferramentas simples fazem varredura sequencial de portas em intervalos iguais e

mantendo o mesmo endereço IP de origem, o que permite fácil detecção do ataque.

Todavia, ataques mais bem elaborados utilizam mais de um IP de origem (máquinas

comprometidas pelo atacante), fazem varredura de portas aleatoriamente e em

intervalos diferentes, o que dificulta bastante a sua detecção.

• Scanning de vulnerabilidades

Um bom scanner de vulnerabilidades consegue identificar características de muitas

ferramentas de mercado através de suas respostas. É possível, com o uso dessas

ferramentas, identificar várias informações sobre os sistemas alvo, tais como:

o Tipo e versão do sistema operacional;

o Fabricante da interface de rede;

o Endereços de enlace (MAC) e de rede (IP);

o Portas de serviço abertas (pois todos têm função de scanning de portas

embutida);

o Versões dos softwares aplicativos que estão vinculados às portas de

serviço abertas (exemplo: porta 80, servidor apache versão x.y);

o Vulnerabilidades existentes nos sistemas operacionais e nos softwares

de aplicação em execução;

o Detectar senhas padrão de fabricantes em uso nos equipamentos.

Alguns exemplos de scanners de vulnerabilidades são o Nessus (originalmente para

sistemas Unix), o Acunetix, o GFI Languard etc.


Há diversos scanners de vulnerabilidades disponíveis. Alguns muito bons, que podem

inclusive ser um grande apoio para que o próprio administrador detecte vulnerabilidades em

sua rede. É necessário utilizar essas ferramentas sempre com bastante cuidado,

principalmente em ambientes de produção onde são executados aplicativos de missão crítica.

Alguns desses scanners literalmente simulam ataques aos sistemas (interrompendo-o no

“momento adequado”), o que pode, no mínimo, sobrecarregar um servidor de produção ou

aumentar o uso de largura de banda de sua rede.



Atividade 02 - Objetivo 02

Para todas as técnicas de coleta de dados, existe uma técnica ou ferramenta que o

administrador pode utilizar como defesa. Com relação à engenharia social, que técnicas

podem ser utilizadas?

Quantidade de Linhas: Deixar 06 linhas

Resposta comentada

Neste caso, o fator humano é o principal ponto a ser observado. Assim, é essencial a

adoção de processos bem definidos para tratar a informação, a realização de treinamentos

constantes dos usuários e a capacitação do pessoal de TI no nível adequado para proteger os

ativos da organização. Enfim, tudo isso se resume ao fato de a empresa ter ou não ter uma

filosofia voltada para a Governança em TI.

Fim da Atividade

6. Códigos maliciosos

Códigos maliciosos são também conhecidos com malwares (da expressão em inglês

malicious software). Vamos estudar esses códigos nesta seção. Lembre-se de que, em muitos

casos, são esses códigos que iniciam a sequência de eventos que permitirá o

comprometimento de uma rede ou sistema. Muitos dos ataques vistos na seção anterior

dependem de certo grau de comprometimento da rede (como no caso do packet sniffing) ou

de boa dose de ajuda dos usuários legítimos da rede (como no caso do phishing).

• Vírus

Um vírus de computador é um programa ou parte de um programa que infecta

uma máquina (software ou firmware que controla o hardware onde ele está inserido)

pela execução de um software legítimo infectado. Portanto, faz parte da definição de

vírus o fato de que ele depende de outro software para infectar uma máquina e se

propagar. Um vírus pode criar cópias de si mesmo e infectar outros arquivos do

sistema comprometido. Atualmente, há vírus que infectam desktops, laptops,

celulares, PDAs e outros dispositivos do mundo moderno.

Figura 1.10: Um vírus se propaga por diversos meios além das redes.

Ilustração, por favor, refazer com design do CECIERJ. Diagramação, por favor, manter a

imagem ao lado direito do texto.

o Ciclo de vida

A literatura divide o ciclo de vida de um vírus em quatro fases:

latência, disparo, propagação e ação maliciosa.

o Técnicas de detecção

A maior parte dos antivírus dependem das assinaturas, que são

nada mais que sequências de códigos características dos vírus. Essa

técnica, porém, é reativa, ou seja, só é possível depois que o vírus

passou a ser conhecido dos fabricantes por ter infectado algumas

máquinas.

Alguns fabricantes de antivírus implementam ações proativas,

como a detecção baseada em tamanho de software. Um vírus de

computador é, na verdade, formado por linhas de código

acrescentadas ao programa original. Isso permitiria detectar a possível

infecção através da variação de tamanho que a infecção causa.

Porém, há comportamentos típicos dos vírus que dificultam o

trabalho do antivírus. Alguns vírus são polimórficos (termo explicado

logo a seguir); outros compactam ou criptografam a parte maliciosa do

seu código etc.

o Mutação

Há vírus de computador que são polimórficos, isto é,

conseguem mudar a sua assinatura durante a cópia de si mesmo.

Também existem vírus que são metamórficos, ou seja, além de mudar

a sua assinatura, mudam também a forma de agir maliciosamente no

sistema. Vírus metamórficos são de difícil detecção.

o Propagação

A rigor, um vírus não é capaz de se propagar sozinho. Você

pode estar pensando: “Ah, mas eu ouvi falar que o vírus tal faz isso”.

Provavelmente se tratava de um worm. Um vírus, quando se propaga,

depende de alguma ação executada no sistema infectado (às vezes

pelo próprio usuário). A característica de se propagar sozinho, através

de e-compartilhamentos de pastas etc., sem depender de outro

software ou de ações de usuários incautos, é inerente aos worms.

o Vírus de macro

Espécie de vírus que se baseia no fato de que certas aplicações

permitem a execução de um conjunto pequeno de instruções (scripts)

ao carregar arquivos. Antes dos vírus de macro, a construção de vírus

se baseava em infectar programas. Como arquivos possuem

mobilidade muito maior que os programas, infectar arquivos se

mostrou um bom negócio para os vírus. Na prática, a maioria dos vírus

que causam problemas hoje em dia é composta por vírus de macro.

Esse tipo de vírus possui o inconveniente de poder ser construído de

forma independente de plataforma computacional ou sistema

operacional: o vírus será executado onde quer que o arquivo infectado

possa ser carregado (PCs, palmtops, celulares etc.).

• Worms

É um programa que se propaga automaticamente através das redes (usando a

lista de e-mails, compartilhamentos de pastas, portas de serviço etc.) e que não

precisa ser executado explicitamente pelo usuário ou indiretamente a partir de um

programa legítimo. Ou seja, por definição, um worm não depende de outro software

para infectar uma máquina e se propagar. Worms são responsáveis pelo consumo de

muitos recursos da rede e dos sistemas.

Figura 1.11: A infestação por worms é sempre muito rápida.

Ilustração, por favor, refazer com design do CECIERJ. Diagramação, manter ao lado direto do

texto.

Como permanecem em execução praticamente o tempo todo sem qualquer

ação voluntária do usuário, é possível notar indícios de infecção por worms através do

uso intenso placa de rede, dos acessos ao HD etc. sem que nenhum software legítimo

esteja em execução. Obviamente isso não descarta a necessidade do uso de boas

ferramentas para identificar worms e, principalmente, eliminá-los.


Atribui-se a um estudante da USC (University of Southern California) o mérito pela

criação do primeiro vírus, em 1983. Quanto ao primeiro vírus de macro, muitas bibliografias

citam o Concept (1995); na verdade, ele era apenas uma variante de outro vírus que infectava

o editor de texto Emacs desde 1992 (caso você use Linux e, por isso, pense que está a salvo...).

O primeiro worm foi criado por um cidadão chamado Robert T. Morris em 1988. Esse worm

infectou mais de 6.000 máquinas na internet (10% do total, naquela época) em poucos

minutos. O estrago não foi maior porque o worm tinha um bug: ele corrompia (sem querer...)

o sistema operacional das máquinas infectadas (o que não era seu objetivo inicial), causando

travamento dos aplicativos. As últimas infecções mundialmente catastróficas se deram nos

anos de 1999 e 2000, com uma onda de pragas de primeira linha: Melissa (vírus de macro,

1999), Worm.Explore.Zip (worm, 1999), ILOVEYOU (worm, 2000), Code Red (worm, 2001) e

Nimda (worm, 2001).


Início da Caixa de Multimídia

Você desconfia de algum arquivo que baixou da internet? O site

http://www.virustotal.com/ permite que você faça upload de arquivos de seu computador

para que sejam analisados com relação à infecção por vírus, trojans etc. O sistema do site faz

uma varredura utilizando mais de 40 antivírus de ponta empregados ao redor do mundo

(provavelmente o antivírus que você usa está lá). Faça o teste; você poderá se surpreender

com a quantidade de discrepâncias existentes entre o que o seu antivírus diz e o que de fato

pode estar acontecendo no seu sistema.

Fim da Caixa de Multimídia

• Spyware

Spywares são softwares que permanecem residentes em uma máquina

infectada com o objetivo de coletar informações digitadas em formulários da internet,

sites acessados, horários de uso do computador etc. Ou seja, são também técnicas de

coleta de informações (como as vistas na seção anterior), mas dependem de infecção

prévia do sistema através de algum código malicioso. O próprio spyware é um código

malicioso que pode vir em um trojan.

Figura 1.12: Spywares estão sempre à espreita sem você perceber.

Ilustração, por favor, refazer com design do CECIERJ. Diagramação, manter ao lado direto do

texto.

Não confunda spyware com adware. Adware são apenas propagandas

indesejadas apresentadas durante o uso da internet (pop-ups, páginas abertas

automaticamente etc.).

• Loggers

Basicamente dois tipos de loggers nos interessam: os keyloggers e os

screenloggers. Keyloggers são softwares que capturam as teclas digitadas no

computador. Na medida em que o uso de keyloggers cresceu, a adoção de teclados

virtuais em sites seguros aumentou. A consequência disso foi o surgimento dos

screenloggers, programas capazes de capturar pequenas imagens da área da tela

próxima à região onde o mouse foi clicado.

• Cavalos-de-troia

Estes malwares também são conhecidos como trojans horses. De forma

semelhante à história original, esses programas se apresentam inicialmente como algo

bom ou de interesse do usuário (cartão de aniversário, notícia sobre um artista,

depósito em conta etc.), mas que escondem códigos maliciosos.

Uma característica interessante é que o cavalo-de-troia é visto pela maior parte da

literatura não como um novo malware, mas apenas como uma forma de propagar

vírus, worms, spywares, keyloggers, backdoors etc. Porém, pela própria definição do

método, o trojan não fará nada (qualquer que seja o malware que o acompanha) sem

a ajuda e interesse do usuário desavisado.

• Exploits

São programas (ou kits de programas) que facilitam a exploração de

vulnerabilidades conhecidas de sistemas operacionais ou softwares aplicativos sem a

necessidade de grandes conhecimentos sobre redes de computadores ou sistemas.

7. Outros ataques

Há sem dúvida uma série de outros ataques que poderiam ser vistos nesta aula. Como

dissemos, o tema é amplo e, mesmo tendo como foco a segurança em redes de

computadores, ainda haveria outros itens a serem citados. Vamos discutir melhor outros

assuntos no fórum. Porém, é importante explicar aqui mais um tipo de ataque muito comum

em redes de computadores: o ataque de negação de serviço e seus desdobramentos.

• IP spoofing

Um ataque de spoofing é baseado em uma situação na qual uma entidade

consegue se passar com sucesso por outra. Essa entidade pode ser uma pessoa,

máquina, sistema etc. No caso do IP spoofing, o atacante consegue forjar o seu

endereço IP de origem enviando pacotes com IP de origem diferente do seu próprio

endereço IP, fazendo-se passar por outra máquina. O IP spoofing é usado

principalmente em ataques de DoS, quando o atacante precisa que várias respostas

sejam enviadas não para ele, mas para a máquina alvo do ataque.

Vale ressaltar, por outro lado, que o uso efetivo dessa técnica para ataques do tipo

homem-no-meio (man-in-the-middle) não é tão simples, pois há vários outros

parâmetros que definem uma conexão e que precisariam ser também forjados pelo

atacante (campos de sequência do cabeçalho TCP, por exemplo).

Alguns exemplos de ferramentas de spoofing utilizadas são o Spoofit, Mendax,

IPSpoof, entre outros.

• DNS spoofing

Neste ataque o servidor de DNS utilizado pela máquina alvo do ataque é invadido

e tem suas informações alteradas para fazer mapeamentos incorretos entre endereços

e nomes. Deste modo, toda vez que uma aplicação do usuário utiliza um determinado

nome que tenha sido alterado, ela estará se comunicando com uma entidade falsa. Por

exemplo, se o endereço IP de uma página foi alterado no DNS, o browser redirecionará

o usuário para a página falsa sem informar que endereço está sendo usado (afinal, é

para isso que servem DNS, browsers etc.). O servidor onde a página falsa está

hospedada estará preparado pelo atacante para roubar informações do usuário sem

que ele perceba.


Um ataque relativamente simples conhecido como ICMP smurf utiliza a técnica IP

spoofing. Ele consiste em enviar mensagens ICMP request (pings) para endereços de broadcast

de uma rede tendo como endereço de origem o IP da máquina vítima. Computadores da

internet, ao receberem mensagens ICMP request, respondem automaticamente com uma

mensagem ICMP reply. Como o IP de origem das mensagens é o da vítima, as centenas (ou

milhares) de respostas seguem para ela, o que pode interromper a sua capacidade de realizar

outras tarefas legítimas por ter que receber e processar mensagens ICPM reply não legítimas.


• ARP spoofing

O ARP spoofing é uma técnica de spoofing em que um atacante tenta se passar

por um destinatário legítimo da comunicação respondendo a consultas ARP enviadas

pela origem do tráfego. A resposta do atacante é enviada dentro do domínio de

broadcast antes que o destinatário legítimo tenha chance de fazê-lo. Com isso, tanto a

máquina de origem quanto o swicth aprendem um mapeamento falso entre o

endereço MAC (do atacante) e o endereço IP (do destino legítimo). A partir disso,

todos os quadros são encapsulados pela origem com o endereço MAC do atacante e

são comutados pelo switch para a porta onde o atacante está com base nesse MAC.

O switch não pode bloquear tal ataque, pois a consulta inicial da vítima (em busca

do MAC do destinatário legítimo) é enviada via broadcast. Porém, um administrador

(usando, por exemplo, um IDS) pode detectar um comportamento estranho na rede ao

detectar duas máquinas respondendo à mesma consulta ARP. Esta é, inclusive, a

técnica de detecção utilizada quando sistemas operacionais detectam duas máquinas

utilizando o mesmo endereço IP dentro da rede.

Início do verbete

ARP (Address Resolution Protocol) - é um protocolo da pilha TCP/IP (pré-requisito para

este curso) utilizado para mapear endereços conhecidos da camada de rede (normalmente o

IP) em endereços conhecidos da camada de enlace (normalmente um MAC).

Fim do verbete

• DoS

No ataque DoS (denial-of-service) o atacante não necessariamente terá acesso à

informação (confidencialidade) ou conseguirá modificá-la (integridade). O foco é

apenas interromper a disponibilidade de um serviço, sistema ou de uma rede inteira.

Há várias formas de ataque de DoS. Muitas delas são conhecidas como flooding

(inundação). Os alvos típicos deste tipo de ataque são servidores compartilhados por

vários usuários, como servidores de DNS, servidores web etc.

• DDoS

O DDoS (distributed denial-of-service) é uma espécie de ataque de negação em que

o atacante potencializa os efeitos do ataque com o uso de várias outras máquinas,

normalmente de usuários da internet cujas máquinas foram previamente

comprometidas. Essa técnica torna o ataque mais efetivo pela multiplicação do poder

computacional envolvido e, ao mesmo tempo, dificulta a execução de contramedidas

pelo administrador do sistema atacado.

• Flooding

A tradução mais apropriada de flooding seria inundação. Por exemplo, no SYN

flooding o atacante envia vários segmentos TCP para a máquina de destino com o bit

de sincronização (SYN) do cabeçalho TCP setado; isso caracteriza uma solicitação de

conexão (ressalte-se que o atacante precisa descobrir, antes, as portas de serviço que

estão aceitando conexão, o que pode ser feito com um scanner). Servidores

respondem a essas requisições com segmentos TCP com bits de sincronização (SYN) e

de confirmação (ACK) setados e reservam recursos para aguardar o fechamento da

conexão (memória, principalmente). A partir disso, a estratégia do atacante é enviar

diversos segmentos solicitando abertura de conexão... Mas não os fechando nunca.

Dependendo da quantidade de conexões, isso acabará impossibilitando o atendimento

de clientes legítimos.

Figura 1.13: SYN flooding é uma inundação de segmentos TCP com bit SYNs igual a “1”.

Ilustração, por favor, refazer esta imagem. Diagramação, por favor, deixar essa

imagem ao lado direito do texto.

Há outros exemplos de ataques do tipo flooding: o ping flooding, o ARP flooding

etc. Os detalhes de cada ataque variam, mas o objetivo final é o mesmo: causar a

indisponibilidade de um serviço pelo excesso de requisições.


Atividade 3 - Objetivos 2 e 3

Como um firewall poderia detectar e interromper um ataque do tipo SYN flooding

conforme explicado nesta seção? Por que o ataque de negação distribuído é muito mais difícil

de ser barrado?

Quantidade de Linhas: Deixar 8 linhas.

Resposta e comentário

Praticamente todo firewall moderno (com funções básicas de detecção de intrusão)

bloqueia pedidos de abertura de conexão para o mesmo serviço quando eles são feitos pelo

mesmo cliente em um curto intervalo de tempo. Claro que em raros casos isso pode acontecer

em clientes compartilhados, mas o ataque se baseia no envio de centenas de requisições por

minuto, e isso de fato só acontece em casos de ataque ou algum tipo de mau funcionamento nos

sistemas. Porém, essa tática só serve para ataques DoS em que o IP de origem permanece o

mesmo. No caso dos ataques DDoS, como são utilizadas várias máquinas de origem, o

equipamento de defesa de perímetro precisará se basear em outra técnica de detecção de

intrusão.

Fim da Atividade

8. Conclusão

Nesta aula, além de termos estabelecido algumas definições básicas, pudemos

também discutir uma série de ameaças às redes de computadores. É fato que muito do que

nós vimos está relacionado a códigos que podem ser gerados e utilizados com as mais diversas

finalidades. De todas elas, as que nos interessam são aquelas que possam servir como primeira

etapa do comprometimento das barreiras de perímetro de uma rede. Ou seja, de nada adianta

um bom firewall se o sistema operacional em que ele foi instalado e configurado possui

vulnerabilidades. E, como vimos, há vários caminhos possíveis para comprometer um sistema

utilizando tais códigos.

Além disso, como citamos logo no início desta aula, quase nunca um “bom” atacante

(se é que podemos usar tal expressão...) irá utilizar apenas um tipo de técnica ou ferramenta

para obter informações sobre vulnerabilidades. Na prática, sempre haverá “inimigos” que você

precisará “temer” mesmo após ter implementado as principais barreiras de segurança; esses

inimigos são justamente aqueles que conhecem muito bem não só o funcionamento dos

principais protocolos de redes de computadores, mas também as melhores técnicas de

programação e desenvolvimento de sistemas.

Início da Atividade On Line

Objetivos 01 a 03

Acesse o fórum desta semana e tire suas dúvidas sobre o conteúdo desta aula. Lá

vamos discutir com mais abrangência e ênfase na prática as ameaças e vulnerabilidades

explicadas aqui, além de tratar de outros pontos importantes relacionados ao tema. Por

exemplo, os conceitos de rootkits, backdoors, HOAX, outros ataques do tipo flooding,

fragmentação etc.

Fim da Atividade

9. Resumo

� Ativo é definido pela ISO 27001 como qualquer coisa que tenha valor para a

organização.

� O grau de criticidade de um risco de TI depende do valor do ativo que se quer

proteger, da quantidade de ameaças existentes e da quantidade de vulnerabilidades

que possam ser exploradas. Quanto maiores forem esses fatores, maior será o grau

de criticidade do risco.

� Há cinco princípios básicos da segurança da informação; três são mais tradicionais: a

confidencialidade, a integridade e a disponibilidade; dois estão relacionados à

evolução das tecnologias de certificação digital: a autenticidade e o não repúdio.

� O controle de acesso, às vezes mencionado como um princípio da segurança da

informação, nada mais é do que uma forma de garantir a observância da

confidencialidade, da integridade, da disponibilidade, da autenticidade ou do não

repúdio.

� O cenário atual dificulta a atuação dos administradores, pois há muito mais

automação, capacidade de atuação a distância, maior sensação de anonimato e

compartilhamento instantâneo de técnicas de invasão.

� As técnicas de coleta de informações estudadas nesta aula foram: a engenharia social,

o phishing, o packet sniffing, o port scanning, o scanning de vulnerabilidades, o IP

spoofing, o ARP spoofing.

� Algumas técnicas de coleta necessitam de algum comprometimento inicial da rede ou

de um sistema (como no caso dos sniffers).

� Os códigos maliciosos vistos nesta aula foram os vírus, os worms, os trojans, os

spywares, os loggers e os exploits.

� Códigos maliciosos também podem ser utilizados como forma de coleta de

informações (por exemplo, no caso dos spywares e loggers) ou como forma de

comprometimento inicial para um ataque posterior (por exemplo, no caso dos

trojans).

Próxima aula

Na próxima aula estudaremos uma das mais populares e antigas formas de defesa de

perímetro: os firewalls. Sobre este assunto vamos abordar os principais conceitos, ver as

diversas topologias possíveis, as diferenças entre firewalls stateless e firewall statefull etc.

Além disso, os conceitos de proxy e de DMZs também serão assuntos da aula.

Pratique o que você aprendeu e contribua com os fóruns desta aula fazendo os seus

questionamentos ou ajudando a esclarecer as dúvidas dos outros participantes. Até a próxima!

Questões Finais

1) Julgue os itens a seguir assinalando “V” para Verdadeiro e “F” para Falso.

I. ( ) Ativos com alto grau de vulnerabilidades são ativos altamente críticos.

II. ( ) Por definição, se a ameaça for nula, a criticidade também será nula.

III. ( ) Por definição, se a ameaça for nula, a vulnerabilidade também será nula.

IV. ( ) Confiabilidade, integridade e disponibilidade são os três maiores princípios de segurança da informação segundo a norma ISO 27001.

V. ( ) Worms se replicam sozinhos; já os vírus sempre dependem de alguma ação executada pelo usuário ou pelo administrador da máquina infectada.

2) O que são técnicas de spoofing? Explique e dê exemplos.

3) (Perito Criminal - Polícia Civil/PA/2007 - CESPE) Quanto ao monitoramento de tráfego em uma rede, julgue os seguintes itens.

I. O tcpdump é um packet sniffer que possibilita a interceptação e apresentação de pacotes que trafegam por uma rede TCP/IP. Os dados nos pacotes interceptados podem ser armazenados em arquivos para posterior análise.

II. Um packet sniffer possibilita monitorar o tráfego em uma rede. Em uma rede Ethernet, para monitorar o tráfego destinado ao endereço de broadcast, a placa de interface com a rede precisa ser configurada no modo promíscuo.

III. Em uma rede Ethernet, um packet sniffer pode ser usado para monitorar o tráfego destinado ao endereço de broadcast e a endereços de multicast, mas não tráfego unicast destinado à máquina com o packet sniffer.

IV. Há técnicas que podem ser usadas para se tentar identificar a presença de packet sniffers em redes Ethernet. Por exemplo, um pacote ARP pode ser enviado para um endereço que não seja o de broadcast. Se uma máquina responder a esse pacote, possivelmente tem uma placa de rede no modo promíscuo.

Estão certos apenas os itens

A. I e II.

B. I e IV.

C. II e III.

D. III e IV.

4) Enumere a primeira coluna de acordo com a segunda.

( ) Interceptação. ( 1 ) Não repúdio. ( ) Fabricação. ( 2 ) Confidencialidade. ( ) Modificação. ( 3 ) Disponibilidade. ( ) Interrupção. ( 4 ) Integridade. ( ) Negação. ( 5 ) Autenticidade.

5) (Perito Criminal - Polícia Federal/2002 - CESPE) Considere uma rede em que há a suspeita da existência de um sniffer instalado em uma das máquinas, realizando escutas desautorizadas. Com relação a essa situação, julgue os itens abaixo.

[1] Constitui boa estratégia de detecção de sniffer aquela que se fundamenta na identificação do tráfego gerado por ele durante a escuta, tráfego que normalmente acontece em grande quantidade, seja o sniffer em redes comutadas ou não.

[2] Pode-se detectar a existência de um sniffer na rede usando-se outro sniffer e verificando quem faz consultas de DNS quando uma nova máquina é adicionada à rede.

[3] Na identificação de um snnifer, constitui boa estratégia o envio de pings em broadcast e a comparação dos tempos de resposta das várias máquinas no segmento: o tempo de resposta da máquina que contém sniffer provavelmente será maior que o das outras máquinas.

[4] A detecção de um sniffer quase sempre acontece com sucesso, sendo a sua identificação fundamentada no endereço MAC.

6) (Perito Criminal - Polícia Federal/2004 - CESPE) Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue os itens a seguir.

[97] Os programas conhecidos como spyware são um tipo de trojan que tem por objetivo coletar informações acerca das atividades de um sistema ou dos seus usuários e representam uma ameaça à confidencialidade das informações acessadas no sistema infectado. Esses programas não são considerados como vírus de computador, desde que não se repliquem a partir de um sistema onde tenham sido instalados.

[98] Um ataque de scanner consiste na monitoração de serviços e versões de software que estão sendo executados em um determinado sistema. Um sistema firewall que implementa um filtro de conexões é capaz de anular os efeitos desse tipo de ataque.

[99] A captura de pacotes que trafegam na rede com uso de um sniffer é um exemplo de ataque para o qual não há nenhuma forma de detecção possível pelo administrador de rede.

7) (Técnico Científico - BASA/2006 - CESPE) No tocante a vulnerabilidades, mecanismos, técnicas e políticas de segurança em redes, julgue os itens a seguir.

[110] Um trojan é um programa não-autorizado, embutido dentro de um programa legítimo, que executa funções desconhecidas e, provavelmente, indesejáveis. O programa alvo realiza a função desejada, mas, devido à existência de código não-autorizado dentro dele, também executa funções desconhecidas.

[112] Um ataque de spoofing se baseia em uma situação na qual uma pessoa ou programa consegue se mascarar com sucesso, por exemplo, se fazendo passar por outra por meio de falsificação de dados. Um exemplo desse tipo de ataque vem da área de criptografia e é conhecido como man in the middle attack.

8) (Analista de Sistemas - IPEA/2008 - CESPE) Acerca de segurança em redes, controle de logs e políticas de backup de ativos de rede, julgue os itens seguintes.

[84] Atualmente, a maioria dos vírus ainda é detectada por meio de assinaturas. A pesquisa por assinatura é variável conforme o antivírus. Dá-se o nome de falso positivo a um alarme falso gerado pelo antivírus, isto é, quando um erro na lista de definição faz que o programa marque arquivos limpos e seguros como infectados.

[117] Um vírus metamórfico faz mutação a cada infecção, podendo tanto mudar de comportamento quanto de aparência.

[118] Em um ataque negação de serviço por refletor — reflector distributed denial of

service (DdoS) — entidades escravas do atacante constroem pacotes que requerem

respostas e contém o endereço IP do alvo como endereço fonte no cabeçalho, de modo que ao serem enviados a computadores não infectados, os refletores, tais pacotes provocam respostas direcionadas ao endereço alvo do ataque.

Respostas

1) F – V – F – F – V.

2) As técnicas de spoofing implicam forjar ou disfarçar informações do atacante como se fossem informações legítimas. A informação em si pode ser um endereço de rede, um endereço de enlace etc. Em alguns casos o próprio atacante modifica a informação que ele gera (como no IP spoofing); em outros, uma entidade é comprometida para gerar informações falsas (como no DNS spoofing).

3) Alternativa B.

A afirmação I é correta. A afirmativa II é incorreta, pois o tráfego de broadcast é recebido normalmente por todas as máquinas independentemente de elas estarem em modo promíscuo. A alternativa III é incorreta, pois o tráfego unicast destinado à máquina com o packet sniffer sempre é recebido por ela. A afirmação IV é correta, conforme vimos na teoria. Logo, são corretas as afirmações I e IV.

4) 2 – 5 – 4 – 3 – 1.

5) A afirmação [1] é falsa. A detecção do sniffer é baseada principalmente no tráfego recebido por ele (em modo promíscuo), não no tráfego que ele gera; além disso, ele não gera grande quantidade de tráfego na rede. A afirmação [2] é verdadeira. Faz parte do comportamento do sniffer gerar consultas DNS sempre que surgem novas máquinas na rede a fim de aprender seus nomes. A afirmação [3] é verdadeira. O sniffer, por estar recebendo uma carga de “pings” maior (todos chegam a ele), se torna cada vez mais lento em suas respostas. A afirmação [4] é falsa. Não temos garantias para afirmar que um método de detecção do sniffer será “quase sempre” efetivo. Na prática, isso dependerá de vários fatores.

6) A afirmação [97] é falsa. O fato de o trojan poder se replicar não o torna um vírus de computador, pois, como vimos, as características dos vírus de computadores são bem específicas e diferentes das dos trojans. A afirmação [98] é falsa, pois não há como o firewall impedir que o scanner faça uma varredura aleatória e detecte portas abertas. A afirmação [99] é falsa. Há formas de detecção de um sniffer de pacotes.

7) A afirmação [110] é verdadeira. Conforme definição vista. A afirmação [112] é verdadeira. O man in the middle attack é a entidade que se incorpora à comunicação, sem conhecimento das partes envolvidas, para se fazer passar por uma delas. A forma com que isso é feito pode ser baseada em spoofing (IP spoofing, ARP spoofing etc.).

8) A afirmação [84] é verdadeira. Conforme definição vista. A afirmação [117] é verdadeira. Conforme definição. A afirmação [118] é verdadeira. Conforme definição.

Referências

SCHENEIER, Bruce. Secrets & Lies: Digital Security in a Networked World. Indiana: Wiley,

2004.

STALLINGS, William. Criptografia e segurança de redes. 4ª ed. São Paulo: Prentice-Hall, 2007.

FONTES, Edson. Segurança da Informação. São Paulo: Saraiva, 2006.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ABNT ISO/IEC 27001 - Tecnologia da

informação - Técnicas de segurança - Sistemas de gestão de segurança da informação -

Requisitos. Rio de Janeiro, 2006.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ABNT ISO/IEC 27002 - Tecnologia da

informação - Técnicas de segurança - Sistemas de gestão de segurança da informação -

Requisitos. Rio de Janeiro, 2005.

aula 01 src final

Documents