Download - TCC Segurança
FACULDADE CENECISTA DE VARGINHA
CURSO DE BACHAREL EM SISTEMAS DE INFORMAÇÃO
HEULER MENDES NAVES
SEGURANÇA DE REDES
UTILIZANDO IDS´s E HONEYPOTS
Varginha
2010
HEULER MENDES NAVES
SEGURANÇA DE REDES
UTILIZANDO IDS´s E HONEYPOTS
Varginha
2010
Trabalho de conclusão de curso apresentado à Faculdade Cenecista de Varginha como parte dos requisitos para obtenção do grau de Bacharel em Sistemas de Informação.
HEULER MENDES NAVES
SEGURANÇA DE REDES
UTILIZANDO IDS´s E HONEYPOTS
Trabalho apresentado ao Curso de Bacharel em Sistemas de Informação da Faculdade
Cenecista de Varginha como parte dos requisitos para conclusão do curso. Submetida à
aprovação da banca examinadora composta pelos seguintes membros.
_____________________________________Prof. Fulano - Orientador
_____________________________________Prof. Fulano - Membro
_____________________________________Prof. Fulano - Membro
Varginha, de de 2010
Dedico este trabalho primeiramente a Deus por me dar a oportunidade
de ser perseverante nesta etapa da minha vida, a meus pais que sempre apoiaram durante toda
esta jornada e a minha noiva Adriele que sempre me incentivou a seguir em frente. Dedico
também a todos os professores que sempre estiveram prontos para orientar e ajudar em todas
as etapas deste projeto.
RESUMO
Esta monografia tem por finalidade a implementação de um sistema de segurança
de redes de computadores. Portanto ela se sustenta e é elaborada obedecendo a normas de
segurança da informação e as melhores praticas relacionadas à segurança de redes de
computadores. Desta forma tornando-se um sistema de fácil implantação e manutenção,
permitindo que administradores de rede possam monitorar atividades ilícitas na rede interna
vindas da internet.
Palavras-chave: Segurança da Informação, Firewall, Segurança de Redes, IDS, Honeypot.
ABSTRACT
This monograph is intended to implement a security system of computer
networks. Therefore it supports and is prepared to obey rules of information security and best
practices related to security of computer networks. Thus becoming a system for easy
deployment and maintenence, allowing network adminstrators to monitor ilegal activities in
internal network from the internet.
Keywods: Information Security, Firewall, Nerwork Security, IDS, Honeypot.
SUMÁRIO
1. Contextualizacao1.1. Descrição do projeto1.2. Objetivo do projeto1.3. Justificativa para o projeto
2. Segurança da Informação2.1. Conceitos Básicos de Segurança
3. Normas ISO Relacionadas à Segurança da Informação3.1. O SGSI3.2. ISO/IEC177993.3. ISO/IEC 270003.4. ISO/IEC 270013.5. ISO/IEC 270023.6. ISO/IEC 270033.7. ISO/IEC 270043.8. ISO/IEC 270053.9. ISO/IEC 270063.10. ISO/IEC 27007
4. Ameaças à segurança4.1. Pontos vulneráveis4.2. Pings mapeadores4.3. Como um craker trabalha4.4. Como um script kiddie trabalha4.5. Técnicas de detecção de vírus4.6. Engenharia social
5. Os Firewalls5.1. Conceitos básicos5.2. Técnicas de firewalls5.3. Componentes de um firewall5.4. Questões de implementação
6. Introdução ao Ambiente Honeypot6.1. Definição6.2. Histórico6.3. Tipos6.4. Níveis diferenciados de interação6.5. Vantagens de uso6.6. Desvantagens6.7. A importância dos Honeypots na Segurança de Redes
7. Introdução as Honeynets7.1. Definição7.2. Funcionamento7.3. Tipos de Honeynets
8. Captura e análise de dados utilizando IDS8.1. Conceitos8.2. Como Funcionam8.3. Logserver8.4. Captura e Controle dos Dados8.5. Analise dos dados
9. Legalidade dos Honeypots
10. Honeypots comerciais11. Honeypots gratuitosReferencias BibliográficasGlossario
LISTA DE FIGURAS
Figura 1:
Figura 2:
Figura 3:
11
1. Contextualização1.1.Descrição do Projeto
O projeto de implantação de um sistema de segurança para redes de
computadores, requisito final para o curso de bacharel em sistemas de informação, tem por
finalidade defender a rede local de ataques vindos da internet ou mesmo de “dentro de casa”,
quando o ataque ocorre dentro da rede local por um usuário interno, os sistemas atuais sendo
eles open source ou os de código proprietário possuem falhas que se exploradas podem causar
sérios danos às corporações, esses danos pode ser desde uma interrupção nos negócios até um
roubo em massa de informações estratégicas que possam velar a empresa a falência.
No entanto as empresas hoje se preocupam mais com questões de segurança
voltada para informações, uma vez que as informações passaram a ser um ativo muito valioso
no mundo dos negócios, estão sendo feitos pesados investimentos em sistemas de segurança,
tanto física quanto lógica, mas o que ainda está falho neste processo de blindagem dos dados
empesarias é a comunicação e conscientização de quem utiliza os recursos de tecnologia das
empresas, os usuários finais ainda são o elo mais fraco da corrente e cabe não só ao
departamento de tecnologia da informação melhorar a comunicação direta com esses usuários,
mas também a empresa criar politicas mais eficazes de acesso a recursos tecnológicos.
Dentro deste cenário é proposto a instalação de um sistema de segurança baseado
em ferramentas open source, os IDS´s (Intrusion Detection System – Sistema de Detecção de
Intrusão) e os Honeypots (“potes de mel”, softwares preparados para simular serviços reais
como um servidor de e-mails, que se faz de isca para o invasor e registra todos os seus passos
dentro de sistema invadido) o sistema tem por principal característica monitoramento
constantemente o trafego de rede em busca de anomalias no trafego como vários pedidos de
conexão em uma determinada porta, pedidos de acesso a ambiente restrito do sistema. O
12
registro da invasão serve de base para a implementação de sistemas e segurança e para
identificar vulnerabilidades de aplicativos e de sistemas operacionais.
1.2.Objetivo do Projeto
O projeto tem por objetivo implementar um servidor Honeypot de média
interatividade para que sejam capturados dados da sessão do invasor e capturar seus passos
dentro do sistema invadido, esses programas simulam serviços reais como HTTP, Telnet,
POP3, SMTP, etc.
Os programas que executam esses falsos serviços são chamados de fake servers,
desta forma o administrator da rede ou o CSO (Chief Securty Officer) e sua equipe possam
analisar e estudar maneiras de impedir que ataques reais aconteçam nos sistemas da empresa.
Os Honeypots são sistemas preparados para serem comprometidos sondados num
ambiente que permita o registro e controle das atividades.
1.3.Justificativa para o Projeto
O projeto como objeto deste trabalho de conclusão de curso se justifica como uma
ferramenta de segurança de redes de computadores e se faz necessário no atual cenário da
tecnologia da informação, pois as ameaças estão por toda a rede. A facilidade em se encontrar
ferramentas para executar invasões, negação de serviços em sites de e-commerce, serviços
públicos e instituições financeiras com a intensão de obter lucro força as empresas a investir e
se preparar melhor contra esses criminosos.
13
A implantação desse sistema de justifica porque garante um controle eficaz e
seguro das atividades do invasor, oferecendo um ambiente de estudos para melhorias nos
processos de segurança da informação presente nas organizações.
14
2. Segurança da Informação2.1.Conceitos Básicos
Para Forouzan (2006, p.711) “a segurança de rede aplicada á informação deve
garantir quatro serviços essenciais para que o tráfego de informação seja eficiente”. A Figura
1 ilustra a hierarquia desses serviços.
Figura 1. Serviços da Segurança da Informação
Um computador ou uma rede só estarão seguros se atenderem a três requisitos
básicos relacionados aos recursos de: confidencialidade, integridade e disponibilidade. Esses
três requisitos devem atender há regras particulares de cada um.
Confidencialidade: As informações armazenadas no computador ou no
servidor de arquivos poderão ser acessadas somente com autorização.
Integridade: Certifique-se que as informações estão corretas para que não
precise de reenvio por causa de inconsistência ou corrupção do arquivo.
Disponibilidade: Os meios de comunicação devem estar sempre disponíveis
24 horas por dia 7 dias por semana, é recomendado sempre ter um plano de
contingência para o caso desses serviços falharem.
A segurança da informação não é um tema a ser tratado somente por empresas, os
computadores pessoais também estão sujeitos a vários tipos de ameaças, pois realizam
15
inúmeras tarefas importantes como transações bancarias, compra de produtos e serviços,
números de cartão de credito e senhas de contas bancárias na mão de criminosos podem gerar
inúmeros prejuízos.
A integridade do sistema operacional também pode ser afetada gerando gastos
com manutenção de equipamentos. Um sistema operacional comprometido pode servir de
base para diversos atos ilícitos na rede como, por exemplo: envio de spam, ataque a outros
computadores, disseminar vírus, falsificar a identidade na rede, etc.
Uma questão muito importante sobre segurança da informação são as senhas,
utilizadas para autenticar e identificar usuários de sistemas as senhas devem ser sempre
pessoais e nunca devem ser reveladas a ninguém. Para criar uma boa senha é recomendável
utilizar um conjunto de caracteres que contenham letras, números e caracteres especiais como,
por exemplo, a senha “Pa$$w0rd”, note que ela usa uma combinação dos três elementos
citados acima, desta forma ela se torna mais difícil de ser comprometida haja vista que
existem programas para quebrar senhas, a grade maioria dos sistemas hoje reconhecem letras
maiúsculas e minúsculas.
Senhas não devem conter segundo (Cartilha de Segurança para Internet cgi.br, 2006
Versão 3.1, p3), Nomes, sobrenomes, números de documentos, placas de carros, números de
telefones e datas deverão estar fora de sua lista de senhas. Esses dados podem ser facilmente
obtidos e uma pessoa mal intencionada, possivelmente, utilizaria este tipo de informação para
tentar se autenticar como você.
16
3. Normas ISO Relacionadas à Segurança da Informação
3.1.O SGSI – Sistema de Gestão de Segurança da Informação
É parte do sistema de gestão global, baseado na abordagem de riscos do negócio,
para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a
segurança da informação.
O sistema de gestão inclui estrutura organizacional, políticas, atividades de
planejamento, responsabilidades, práticas, procedimentos, processos e recursos.
Para estabelecer um SGSI, a organização deve segundo a norma (ABNT NBR
ISO/IEC 27001:2006, p4). Definir o escopo e os limites do SGSI nos termos das
características do negócio, a organização, sua localização, ativos e tecnologia, incluindo
detalhes e justificativas para quaisquer exclusões do escopo; Definir uma política do SGSI nos
termos das características do negócio, a organização, sua localização, ativos e tecnologia;
Definir a abordagem de análise/avaliação de riscos da organização; Analisar e avaliar os
riscos; Identificar e avaliar as opções para o tratamento de riscos; Selecionar objetivos de
controle e controles para o tratamento de riscos; Obter aprovação da direção dos riscos
residuais propostos; Obter autorização da direção para implementar e operar o SGSI; Preparar
uma Declaração de Aplicabilidade.
As normas ISO relacionadas à Segurança da Informação estão em constante
crescimento ao todo já forma publicadas nove normalizações ISSO/IEC para a Segurança da
Informação, são elas: ISO/IEC17799; ISO/IEC 27000; ISO/IEC 27001; ISO/IEC 27002;
ISO/IEC 27003 ISO/IEC 27004; ISO/IEC 27005; ISO/IEC 27006; ISO/IEC 27007. As quais
farei uma pequena introdução.
17
3.2.ISO/IEC17799
Derivada da norma britânica BS 7799, a norma ISO 17799 dá linhas diretivas e
recomendações para a gestão da segurança.
A norma 17799 fornece assim um plano que permite identificar e aplicar soluções
para os seguintes riscos:
Política de segurança (Security Policy): redigir e dar a conhecer a política da
empresa em matéria de segurança,
Organização da segurança (Security Organisation): Definição dos papéis e
das responsabilidades. Controlo dos parceiros e da atividade externa,
Classificação dos bens e controlo (Asset Classification and Control): Estado
dos bens da empresa e definição da sua criticidade e do risco associado,
Segurança do pessoal (Personnel Security): Contratação, formação e
sensibilização para a segurança;
Segurança física e ambiental (Physical and Environmental Security):
Perímetro de segurança, estado dos equipamentos de segurança;
Gestão das comunicações/Operações (COM/Ops Management):
Procedimentos em caso de acidente, plano de retoma, definição dos níveis de
serviço e do tempo de retoma, proteção contra softwares maliciosos, etc;
Controle de acesso (Access Control): Instalação de controles de acesso em
diferentes níveis (sistemas, redes, desenvolvimento, etc.);
Desenvolvimento e manutenção dos sistemas (System Development and
Maintenance): consciencialização das noções de segurança nos sistemas, da
concepção à manutenção;
18
Planificação da continuidade da empresa (Business Continuity Planning):
Definições das necessidades em matéria de disponibilidade, o tempo de
retoma e realização de exercícios de socorro;
Conformidade (Compliance): Respeito pelos direitos de autor, pela legislação
e pela política regulamentar da empresa.
3.3.ISO/IEC27000
A ISO / IEC 27000 é parte de uma família crescente de normas ISO / IEC Sistema
de Gestão de Segurança da Informação (SGSI), a “ISO / IEC 27000 séries”.
ISO/IEC 27000 é uma norma internacional intitulada: Tecnologia da Informação -
Técnicas de segurança - Sistemas de Gestão da Segurança da Informação - Visão Geral e
Vocabulário.
O padrão foi desenvolvido pela subcomissão 27 (SC27) do primeiro Comitê
Técnico Conjunto (JTC1) da Organização Internacional de Normalização e a Comissão
Eletrotécnica Internacional.
ISO/IEC 27000 prevê:
Uma visão geral e introdução à norma ISO/IEC 27000 séries, que são os
padrões de Sistemas de Gestão de Segurança da Informação (SGSI).
Um glossário ou vocabulário de termos fundamentais e definições utilizadas
em toda a norma da família ISO/IEC 27000. A segurança da informação,
como muitos assuntos técnicos, que se desenvolve uma complexa teia de
terminologia. Relativamente poucos autores se preocupam em definir
precisamente o que eles significam, uma abordagem que é inaceitável na
arena padrões como este potencialmente leva à confusão e desvaloriza a
19
avaliação e certificação formal. Conforme com a norma ISO 9000 e ISO
14000, a base de '000 'norma destina-se a resolver esta questão.
O público alvo são os usuários dos restantes ISO/IEC 27000 séries, padrões de
gestão de Segurança da Informação.
3.4.ISO/IEC27001
A ISO/IEC 27001, publicado em Outubro de 2005 pela International Organization
for Standardization (ISO) e a International Electrotechnical Commission (IEC). Seu nome
completo é ISO / IEC 27001:2005 - Tecnologia da Informação - Técnicas de segurança -
Sistemas de Gestão da Segurança da Informação - Requisitos mas é popularmente conhecido
como "ISO 27001".
Esta norma especifica formalmente um sistema de gestão que visa trazer
segurança da informação sob o controle de gestão explícita. Sendo uma especificação formal
significa que os mandatos requisitos específicos. As empresas que afirmam ter adotado a
norma ISO / IEC 27001 pode ser formalmente auditada e certificada em conformidade com o
padrão.
A maioria das organizações tem um número de controles de segurança da
informação. Sem um SGSI, no entanto, os controles tendem a ser um pouco desorganizados e
desarticulados, tendo sido implementadas, muitas vezes como soluções pontuais para
situações específicas, ou simplesmente como uma questão de convenção. Os modelos de
maturidade geralmente se referem a esta fase como "ad hoc". Os controles de segurança em
funcionamento normalmente tratam de certos aspectos de TI ou de segurança de dados,
especificamente, não deixando-os ativos de informação (como a papelada e os conhecimentos
de propriedade) menos bem protegidos em geral. Planejamento de continuidade de negócios e
20
segurança física, por exemplo, podem ser geridos de forma totalmente independente de TI ou
de segurança da informação, enquanto práticas de Recursos Humanos pode fazer pouca
referência à necessidade de definir e atribuir papéis e responsabilidades de segurança da
informação em toda a organização.
ISO/IEC 27001 requer que a Administração:
Analise sistematicamente os riscos de segurança da organização da
informação, tendo em conta as ameaças, vulnerabilidades e impactos;
Crie e programe um conjunto coerente e abrangente de controles de
segurança da informação e / ou outras formas de tratamento de risco (tal
como a prevenção de risco ou de transferência de risco) para enfrentar os
riscos que são considerados inaceitáveis.
Adote um processo de gestão global para assegurar que os controles de
segurança da informação continuem a atender a segurança da organização e
necessidades de informação em uma base contínua.
Enquanto outros conjuntos de controles de segurança da informação pode
potencialmente ser utilizado dentro de uma norma ISO/IEC 27001 SGSI, bem como, ou
mesmo, em vez da ISO/IEC 27002 (Código de Boas Práticas para Gestão de Segurança da
Informação), estas duas normas são normalmente utilizados em conjunto na prática. Anexo A
da norma ISO/IEC 27001 enumera sucintamente os controles de segurança da informação da
norma ISO/IEC 27002, enquanto a ISO / IEC 27002 fornece informações adicionais e
consultoria de implementação de controles.
Organizações que implementam um conjunto de controles de segurança da
informação em conformidade com a norma ISO / IEC 27002 estão simultaneamente com
probabilidade de encontrar muitos dos requisitos da norma ISO / IEC 27001, mas pode faltar
algum dos elementos do sistema global de gestão. O inverso também é verdadeiro, em outras
21
palavras, um padrão ISO/IEC 27001 certificado de conformidade garante que o sistema de
gestão de segurança da informação está no lugar, mas diz pouco sobre o estado absoluto de
segurança da informação dentro da organização.
Segurança técnica controles, como antivírus e firewalls normalmente não são
fiscalizadas em (ISO/IEC 27001), auditorias de certificação: a organização é essencial que se
presume terem adaptado todos os controles de segurança necessários, informações desde o
SGSI global estão no local e é considerada adequada, satisfazendo os requisitos da ISO/IEC
27001. Além disso, a gestão determina o escopo do SGSI para fins de certificação e pode
limitá-lo, digamos, a unidade de negócios ou um único local.
A norma ISO/IEC 27001 certificado não significa necessariamente que o restante
da organização, fora do escopo da área, tem uma abordagem adequada para a gestão da
segurança da informação.
Outras normas da ISO / IEC 27000 família de padrões de fornecer orientações
adicionais sobre certos aspectos de concepção, implementação e exploração de um SGSI, por
exemplo, informações de gerenciamento de riscos de segurança (ISO / IEC 27005).
3.5.ISO/IEC27002
ISO/IEC 27002 é uma norma de segurança da informação publicada pelo
International Organization for Standardization (ISO) e pelo International Electrotechnical
Commission (IEC), originalmente como a ISO / IEC 17799:2005.
Posteriormente, foi renumerado ISO / IEC 27002:2005, em Julho de 2007,
alinhando-a com a de outras normas ISO / IEC 27000-série. Ela tem o direito de tecnologia da
22
informação - Técnicas de segurança - Código de prática para a gestão de segurança da
informação. O padrão atual é uma revisão da primeira versão publicada pela ISO / IEC em
2000, que era uma cópia palavra por palavra, do British Standard (BS) 7799-1:1999.
ISO / IEC 27002 fornece recomendações de boas práticas de gestão de segurança
da informação para uso por parte dos responsáveis por iniciar, implementar ou manter
Information Security Management Systems (SGSI). A segurança da informação é definida
dentro do padrão no contexto da tríade CIA:
a preservação da confidencialidade (garantir que a informação é acessível somente às pessoas
autorizadas a ter acesso), integridade (salvaguarda da exatidão e integridade das informações
e métodos de processamento) e disponibilidade (garantia de que usuários autorizados tenham
acesso às informações e ativos associados quando necessário).
Após as seções introdutórias, a norma contém as seguintes doze seções principais:
1. A avaliação de riscos;
2. Política de segurança - direção, gestão;
3. Organização da segurança da informação - a governança da segurança da
informação;
4. A gestão de ativos - Inventário e classificação dos ativos de informação;
5. Segurança em recursos humanos - aspectos de segurança para os
trabalhadores se juntarem, passando e deixando uma organização;
6. Segurança física e ambiental - a proteção dos equipamentos informáticos;
7. Comunicações e operações de gestão - gestão de controles técnicos de
segurança nos sistemas e redes;
8. Controle de acesso - restrição de direitos de acesso a redes, sistemas,
aplicativos, funções e dados;
23
9. Sistemas de aquisição de informação, desenvolvimento e manutenção -
segurança em aplicações de construção;
10. Gestão de incidentes de segurança - antecipar e responder adequadamente às
violações de segurança da informação;
11. O gerenciamento de continuidade - a proteção, manutenção e recuperação de
processos críticos de negócios e sistemas;
12. Cumprimento - conformidade com as políticas de segurança da informação,
normas, leis e regulamentos.
Dentro de cada secção, os controles de segurança da informação e os seus
objetivos são especificados e descritos. Os controles de segurança da informação são
geralmente considerados como melhores práticas meios para atingir esses objectivos. Para
cada um dos controles, da orientação de implementação é fornecida. controles específicos não
são obrigatórias desde:
1. Cada organização deverá proceder a uma estrutura de segurança da
informação processo de avaliação de risco para determinar os seus requisitos
específicos antes de selecionar os controles que são adequados às suas
circunstâncias específicas. A seção de introdução descreve um processo de
avaliação de risco, embora existam normas mais específicas em vigor nesta
área, como a ISO / IEC 27005. A utilização de informações de análise de
risco de segurança para dirigir a seleção e implementação de controles de
segurança da informação é uma característica importante das normas ISO /
IEC 27000 série: isso significa que o conselho prática genérica bom nesta
norma se adaptado ao contexto específico de cada organização do usuário, ao
invés de ser aplicada de forma mecânica. Nem todos os 39 objetivos de
controle são necessariamente relevantes para cada organização, por exemplo,
24
daqui categorias inteiras de controle não podem ser considerados necessários.
As normas também estão em aberto no sentido de que os controles de
segurança da informação são "sugeridas", deixando a porta aberta para que os
usuários adotem controles alternativos se assim o desejarem, apenas contanto
que os objetivos de controle fundamentais relacionados com a mitigação dos
riscos de segurança da informação, estão satisfeitos. Isso ajuda a manter o
padrão relevante, apesar da evolução das ameaças de segurança da
informação, as vulnerabilidades e os impactos e as tendências no uso de
determinados controlos de segurança da informação.
2. É praticamente impossível listar todos os controles possíveis em um padrão
de uso geral. diretrizes de implementação específicos da indústria para a ISO /
IEC 27001 e ISO / IEC 27002 oferecer conselhos adaptados às organizações
na indústria telecomms (ver ISO / IEC 27011) e saúde (ver ISO 27799), com
orientações adicionais para os serviços financeiros e outras indústrias
preparação.
3.6.ISO/IEC27003
ISO / IEC 27003, É uma norma de segurança da informação publicada pelo
International Organization for Standardization (ISO) ea International Electrotechnical
Commission (IEC). Seu título é Tecnologia da Informação - Técnicas de segurança –
Segurança da informação de gestão da orientação de implementação do sistema.
O objetivo da ISO / IEC 27003 é fornecer ajuda e orientação na implementação de
um SGSI (Sistema de Gestão de Segurança da Informação).
Resumo da Norma.
O padrão contém as seguintes seções:
25
Introdução;
Âmbito;
Termos e Definições;
Estrutura da presente Norma
Obter a aprovação da gerência para dar início ao projecto de implementação
de um SGSI;
Definição da política do SGSI Âmbito e ISMS;
Realizar análise da organização;
Realização de Avaliação de Risco e Plano de Tratamento de Riscos;
Projetando o SGSI.
A norma foi publicada em Janeiro de 2010.
3.7.ISO/IEC27004
A ISO/IEC 27004:20099, parte de uma família de normas ISO/IEC SGSI, a
"ISO/IEC 27000 séries”, é uma norma de Segurança da Informação.
Seu nome completo é tecnologia da informação - Técnicas de segurança - Gestão
da Informação de Segurança - Medição.
O objetivo da ISO / IEC 27004 é ajudar as organizações medida, o relatório e,
consequentemente, melhorar sistematicamente a eficácia dos seus Sistema de Gestão de
Segurança da Informação (SGSI).
O padrão inclui as seguintes seções principais:
Informação Resumo medida de segurança;
As responsabilidades de gestão;
26
Medidas e desenvolvimento de medição;
Operação de Medição;
Análise de dados e medição de resultados de relatórios;
Segurança da Informação Programa de Medição, avaliação e melhoria.
O Anexo A apresenta um modelo com o qual a descrever uma medida, enquanto o
Anexo B oferece alguns exemplos trabalhados.
A norma foi publicada em 7 de dezembro de 2009.
3.8.ISO/IEC27005
ISO/IEC 27005 parte de uma família de normas ISO/IEC SGSI, a "ISO/IEC
27000, séries”, é uma norma de Segurança da Informação.
Seu título completo é ISO/IEC 27005:2008 Tecnologia da informação - Técnicas
de Segurança - Informações de Gestão de Riscos de Segurança.
O objetivo da ISO/IEC 27005 é fornecer diretrizes para a gestão da informação de
risco de segurança. Ele suporta os conceitos gerais especificados na norma ISO/IEC 27001 e é
projetado para auxiliar a implementação satisfatória da segurança da informação baseada em
uma abordagem de gestão de risco. Ele não especifica recomendar ou até mesmo o nome de
qualquer método de análise de riscos específicos, embora não especifique um processo
estruturado, sistemático e rigoroso de análise de riscos para a criação do plano de tratamento
de risco.
A norma foi publicada em junho de 2008.
3.9.ISO/IEC27006
27
ISO / IEC 27006, parte de uma norma da família ISO/IEC SGSI, a "ISO / IEC
27000, série”, é uma norma de segurança da informação.
Ela tem o direito de tecnologia da informação - Técnicas de Segurança -
Requisitos para organismos de auditoria e certificação de sistemas de informação de gestão de
segurança.
ISO / IEC 27006 estabelece requisitos formais de organizações credenciadas
outras organizações que certificam a norma ISO / IEC 27001.
Ele substitui eficazmente EA 03/07 (Diretrizes para a acreditação de organismos
de certificação operacional / registo. Information Security Management Systems).
A norma ajuda a garantir que a ISO / IEC 27001 certificados emitidos por
organismos acreditados são significativas e confiáveis, em outras palavras, é uma questão de
segurança.
A norma contém os dez seções seguintes:
1. Âmbito;
2. Referências normativas;
3. Termos e definições;
4. Princípios;
5. Requisitos gerais;
6. Requisitos estruturais;
7. Requisitos de Recursos;
8. Requisitos de Informação;
9. Requisitos de Processos;
10. Requisitos do sistema de gestão dos organismos de certificação.
3.10. ISO/IE27007
28
I ISOISO / IEC 27007 parte de uma da família de normas ISO/IEC SGSI, a
"ISO/IEC 27000, séries”, é um padrão de segurança de informação que está sendo atualmente
desenvolvido pela International Organization for Standardization (ISO) ea International
Electrotechnical Commission (IEC).
O título atual é de tecnologia da informação - Técnicas de Segurança - Diretriz
para Auditorias de Sistemas de Segurança da Informação de Ggestão.
ISO / IEC 27007 proporcionará orientação para os ISMSs auditoria para vários
fins que não sejam certificados de conformidade com a norma ISO / IEC 27001 (que é coberta
pela ISO / IEC 27006), efeitos, tais como:
A auditoria interna, por exemplo, auditores de TI para confirmar que a
segurança de informação da organização controla adequadamente mitigar
seus riscos de segurança da informação;
A auditoria externa, incluindo auditorias de TI realizado como parte de
auditorias financeiras (por exemplo, confirmando que a segurança da
informação controlos relativos à contabilidade geral ou dos sistemas de
compras e os processos são adequados para os auditores devem se basear nos
dados associados / informação) e auditorias do ISMSs terceira parte (como
aquelas operadas por prestadores de serviços se verificar sua adequação por si
mesmo ou para confirmar que as obrigações contratuais sobre eles em relação
à segurança da informação estão satisfeitos);
Gerenciamento de revisões, incluindo os realizados rotineiramente como
parte de um SGSI operacional para verificar se tudo está em ordem, e “ad
hoc” auditoria na sequência de incidentes de segurança da informação, como
parte da análise de causa raiz para gerar ações corretivas.
29
4. Ameaças a Segurança
4.1.Pontos Vulneráveis
Estamos todos nós vulneráveis na internet? De acordo com (Ulbrich, Della Valle,
2009, p209), “Infelizmente, a resposta, em uma palavra, é sim. Nossos sistemas de
informação, com todos os patches, Services Packs e correções, são falhos porque foram
desenvolvidos sem levar a segurança em conta. É muito mais fácil plantar árvores que fazer
enxertos.”.
As vulnerabilidades estão não somente nos softwares, mas também nas pessoas e
nos processos das empresas que nem sempre se preocupam com a segurança de suas redes de
computadores, segundo Ulbrich e Della Valle (2009), em seu livro Universidade Hacker (6ª
edição). Muitos bugs que permitem a ação de criminosos poderiam se facilmente corrigidos,
mas muitas companhias preferem fazer vistas grossas a esses problemas sendo, em muitos
casos até displicentes.
Ainda de acordo com os autores uma pesquisa realizada no final de 2002 pela
Módulo Security Solutions, a segurança da informação é fator importante para 45% dos
executivos, sendo que 16% a consideram crítica e 32% a classificam como vital. Mesmo
assim, a falta de conscientização dos executivos (45%) e dos usuários (38%) foram apontadas
como os principais obstáculos para implementação da segurança nas corporações.
A mesma pesquisa ainda mostra que, hackers foram responsáveis por (48%) dos
ataques e invasões em 2002, em segundo lugar os funcionários com (31%), prestadores de
serviços (12%), ex-funcionários (8%) e os concorrentes com (4%).
30
4.2. Pings Mapeadores
Existem várias ameaças na rede, e quaisquer adolescentes curiosos ou mesmo
profissionais más intenções podem causar sérios danos às empresas e usuários domésticos
quando esses não tomam dos devidos cuidados.
Carmona (2009), mostra em seu livro Ataque Hacker que a ferramenta de teste de
conexão “ping” presente em todos os sistemas operacionais, pode ser de grande utilidade para
um atacante. Sabendo explorar todo o potencial desta simples ferramenta podem-se identificar
servidores e maquinas de usuários domésticos na internet.
Pode-se criar um arquivo de texto para armazenar as respostas de um “ping” em
um determinado espaço de endereços na internet, com alguns comados no Linux facilmente é
criado um log de resposta de comados “ping”.
4.3.Como um Craker Trabalha
Um craker sempre esta a procura de obter lucros em suas investidas eles imitam
os hackers, pois utilizam sistemas baseados m UNIX, como o Linux, entretanto suas
atividades são na maioria das vezes com foco em obter o maior número possível de
informações sobre servidores vulneráveis no menor espaço de tempo possível e com o menor
esforço.
Eles podem descobrir através de ferramentas como o ping por exemplo quais
maquinas estão em funcionamento em um determinado intervalo de endereços, a partir disso
criar uma lista com as possíveis vitimas de ataques de negação de serviço (DoS) e roubo de
informações financeiras como números de cartão de credito.
31
4.4.Como um Script Kiddie Trabalha
Os Kiddies são os que chamamos de pichadores ou vândalos da internet, eles não
querem saber para que serve uma ferramenta eles querem simplesmente causar algum estrago
que seja visível por todos, para que possam depois postar em algum blog “hacker” sua
incrível façanha.
Eles não possuem o mesmo nível desconhecimento de um hacker, utilizam
somente ferramentas prontas disponíveis na internet essas ferramentas são em sua maioria
desenvolvidas para sistemas Linux, o Windows não possui a mesma disponibilidade de
ferramentas de ataque que o Linux isso deixa os script Kiddies desconsolados, pois eles em
sua maioria não querem estudar sistemas Linux.
O software mais utilizado em sistemas Windows é o Shadow Security Scanner ou
SSS como é conhecido na internet de acordo com Carmona (2006), este é um software pago
geralmente usado para fazer testes em uma rede para descobrir pontos vulneráveis a ataques.
Os Kiddies descobriram seu poder de fogo e o programa se tornou moda nos sites “hackers”.
4.5.Técnicas de Detecção de Vírus
Nos anos 80 e 90, os antivírus conseguiam detectar a maioria das pragas virtuais
da época, pois os discos rígidos dos computadores tinham pouca capacidade e os arquivos
contaminados se limitava a extensões .exe, .com e as vezes infecção no boot ou MBR da
maquina.
32
À medida que a evolução do hardware e software foi se tornando mais acessível
os discos passaram a suportar terabytes de dados e outros formatos de arquivos se tornaram
vitimas de infecção como, .pdf, .doc, xls, .vbf, .inf, .jpg, etc. Essa mudança fez com que as
empresas de antivírus atualizassem seus métodos de pesquisa para melhorar a performance e
atender a nova demanda de identificação e remoção de vírus em diversos formatos de
arquivos.
Um antivírus funciona da seguinte forma, a detecção é realizada por assinaturas
binarias, pequenos blocos de dados utilizados para identificar o vírus, no entanto como os
vírus também evoluíram essa detecção por assinatura binaria nem sempre é eficaz ou não é
possível faze-la. Esse tipo de detecção utiliza em geral de 2 a 255 bytes para identificar o
vírus.
A maior preocupação dos fabricantes de antivírus esta em detectar as novas
ameaças que ainda não tem sua assinatura binária estudada, entre outras formas de detectar
novos vírus esta a emulação e a heurística.
A Heurística estuda o comportamento, estrutura e caraterísticas do arquivo
podendo classifica-lo como suspeito ou não, esta técnica pode causar muitos falsos-positivos,
onde um arquivo legítimo pode apresentar um comportamento considerado suspeito pelo
antivírus, à figura 2 mostra como um vírus infecta arquivos .exe.
33
Figura 2. Infecção de arquivos .exe.
Tadeu Carmona (2004, p.63) mostra que:
“Um arquivo .exe possui um pequeno cabeçalho, um Entry Point, o ponto onde começa a execução do programa, e o programa propriamente dito. Após uma infecção, o Entry Point, é alterado, de forma que passa a apontar para o código do vírus. Após a execução do vírus, este pula para o Entry Point, original do programa, fazendo-o funcionar normalmente.”
Já a técnica de Emulação foi criada da década de 90 com a intenção de identificar
vírus polimórficos, essa categoria de vírus pode a cada infecção mudar seu próprio código,
tonado a detecção difícil por pesquisas de assinatura binaria.
A emulação tenta identificar a rotina de decriptografia do vírus, quando um vírus
desta classe é executado ele decriptografa seu código executável usando uma rotina anexada
ao vírus, e quando se prolifera ela modifica seu código para que não possa ser detectado.
4.6.Engenharia Social
Nós convivemos com engenheiros sociais o tempo, todo talvez até nos mesmos já
utilizamos essa técnica para conseguir algum beneficio.
34
Marcos Flavio Araújo Assunção (2009, p.19) define Engenharia Social como:
“...um conjunto de técnicas especificas que permitem manipular os sentimentos e aspirações
de um ser humano para beneficio próprio.”.
Muitos fraudadores e estelionatários utilizam essas técnicas em seus golpes elas
tendem a manipular os sentimentos de curiosidade, confiança, orgulho, simpatia, culpa ou
medo. Dentro de um ambiente de um honeypot a engenharia social pode ser usada a favor do
administrador da rede contra invasores, atraindo-os principalmente pela curiosidade e
confiança de que o sistema esta totalmente vulnerável.
Existem dois tipos de ataques através da Engenharia Social, o ataque direto e o
indireto, ambos somente terão sucesso se as habilidades do atacante em manipular as pessoas
para convencê-las a entregar as informações com facilidade sejam consideráveis.
O ataque indireto é feito com o uso de ferramentas de invasão como trojans ou
sites contaminados, mas pode ser feito também através de e-mails falsos como os que pedem
uma atualização de cadastro bancário, ou sites phishing que aparentam o site verdadeiro mas
são na verdade um ambiente para extrair dados dos usuários.
Ataques diretos em sua maioria são feitos por telefone ou pessoalmente, esse
ataque exige do hacker de um ator profissional e um dom artístico, ele precisa o todo
momento impedir que a vítima desconfie dele ou o ataque estará comprometido, o ataque
direto exige um bom planejamento antecipado.
35
5. Os Firewalls
5.1.Conceitos Básicos
Um Firewall na tradução literal pode ser chamado de “muro de fogo” ou “porta
corta fogo” para alguns autores, mas na verdade esse recurso hoje é essencial em uma rede
computadores, nenhum administrador de rede deixa seus servidores sem esse recurso de
proteção.
O Firewall geralmente é instalado entre duas ou mais redes, a instalação mais
comum é entre uma rede privada e a Internet, ele tem como função é controlar o tráfego entre
as redes, permitindo ou bloqueando pacotes de dados conforme regras pré-estabelecidas.
Como padrão nas configurações de um Firewall as conexões vindas da rede interna são
permitidas e as conexões vindas de fora da rede bloqueadas.
Existem três tipos de Firewalls. Os de Filtro de Pacotes e Proxies e um o Filtro de
Estado de Pacotes ou stateful packet filter (SPF).
Existem varias soluções no mercado para Firewalls entre os pagos temos o
Microsoft ISA Server, e o mais popular e mais usado é o IPTables ou NetFilter, presente nas
distribuições Linux.
5.2.Técnicas de Firewalls
O Firewall age basicamente como uma porta que permite ou bloqueia uma
conexão. Sempre que uma tentativa de conexão e requisitada o firewall consulta o conjunto de
regras pré-estabelecida se o protocolo e porta de conexão estão liberados para realizar
transmissão de dados, baseando-se nessas regras os pacotes são liberados, redirecionados ou
negados antes de atingir o destino final.
36
A figura três exemplifica a ação de um Firewall.
Figura 3. Funcionamento de um Firewall
5.3.Componentes de um Firewall
5.4.Questões sobre Implementação
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126