guia febraban

Junho/2000 - Febraban

Guia de

Referência Sobre Ataques Via

Internet

Guia de Proteção contra Ataques Via Internet 2

Conteúdo SEGURANÇA DAS INFORMAÇÕES....................................................................................................... 6

SEGURANÇA ............................................................................................................................................ 7 IDENTIFICAÇÃO DAS NECESSIDADES DE SEGURANÇA.................................................................................. 8

Necessidades de Segurança .................................................................................................................... 8 Avaliação de riscos ..............................................................................................................................................8 Necessidades legais, contratuais e estatutárias .....................................................................................................8 Princípios, objetivos e necessidades organizacionais ...........................................................................................9

AVALIAÇÃO DE RISCO........................................................................................................................... 10 Risco ..................................................................................................................................................... 10 Classificação e identificação de ativos ................................................................................................. 11 Identificação de Ameaças ..................................................................................................................... 12 Identificação de Vulnerabilidades ........................................................................................................ 14

Vulnerabilidades técnicas...................................................................................................................................14 Vulnerabilidades processuais .............................................................................................................................14 Como detectar vulnerabilidades .........................................................................................................................14 Como se manter atualizado quanto a vulnerabilidades.......................................................................................14

Avaliação das políticas e procedimentos de segurança........................................................................ 15 Relação entre os componentes de segurança........................................................................................ 16

GERENCIAMENTO ...................................................................................................................................... 18 Gerenciamento dos Riscos .................................................................................................................................18

ATAQUES VIA INTERNET ..................................................................................................................... 19

ATAQUES................................................................................................................................................... 20 Perfil do Invasor ................................................................................................................................... 20

Motivos ..............................................................................................................................................................20 Fases de um ataque............................................................................................................................... 21

PREVENÇÃO............................................................................................................................................... 23 Princípios.............................................................................................................................................. 23

Menor Privilégio ................................................................................................................................................23 Plano de Resposta a Ataques..............................................................................................................................23 Detecção e Correção de vulnerabilidades...........................................................................................................24 Rotas e Links de acesso ao Internet Banking .....................................................................................................24 Monitoração permanente....................................................................................................................................24 Classificação ......................................................................................................................................................25

Componentes de Arquitetura Segura para Internet .............................................................................. 26 Segmentação de Rede.........................................................................................................................................26 Firewalls.............................................................................................................................................................27 Autenticação.......................................................................................................................................................28 Criptografia ........................................................................................................................................................29 Sistemas de Detecção de Intrusos (IDS).............................................................................................................29 Segurança de Servidores ....................................................................................................................................29 Gerenciamento ...................................................................................................................................................30 Visão Geral da Arquitetura.................................................................................................................................30

Recomendações para Instalação........................................................................................................... 32 Firewall ..............................................................................................................................................................32 DMZ...................................................................................................................................................................36 Acesso Remoto ..................................................................................................................................................37 Proteção contra ataques Denial of Service..........................................................................................................37 Spoofing.............................................................................................................................................................39 Acesso SNMP ....................................................................................................................................................39 Acesso a Roteadores e Switches via Console Local...........................................................................................39 Acesso via Telnet ...............................................................................................................................................40 Sincronização de Horário ...................................................................................................................................40 Concentrador de logs..........................................................................................................................................40 Senhas ................................................................................................................................................................40

Recomendações para clientes e usuários.............................................................................................. 42


RESPOSTA A INCIDENTES ........................................................................................................................... 43 Gerenciamento de Incidentes e Resposta ...........................................................................................................43 Sinais de que a segurança do site foi comprometida ..........................................................................................44

Investigação .......................................................................................................................................... 45

ANEXOS...................................................................................................................................................... 47

BRITISH STANDARD 7799 ................................................................................................................... 48 GLOSSÁRIO DE TERMOS............................................................................................................................. 49 REFERÊNCIAS PARA CONSULTA...................................................................................................... 52 OUTROS RECURSOS............................................................................................................................. 53 BIBLIOGRAFIA ........................................................................................................................................... 54 INTERNET SECURITY SYSTEMS .................................................................................................................. 55

Histórico ............................................................................................................................................... 55


APRESENTAÇÃO

É uma grande satisfação poder apresentar este trabalho à comunidade. A idéia do Guia surgiu no final do ano passado, seguindo modelo de trabalho que mantemos com associações de bancos de diversos países. Agradecemos à Febraban pela parceria para a concretização do projeto, bem como os comentários e sugestões que recebemos dos CIOs dos bancos, participantes em muitas das fases de sua preparação. A Internet Security Systems - ISS (NASDAQ: ISSX) tem entre seus clientes 23 dos 25 maiores bancos mundiais e está envolvida em diferentes projetos do governo norte-americano, em especial junto à Casa Branca, FBI e NSA, contribuindo para a criação de metodologias, procedimentos e tecnologias de proteção e defesa na Internet. Nesta passagem para a chamada "Nova Economia", a Segurança Digital assume dimensões nunca antes imaginadas. Rapidamente, em todo o mundo, companhias de diferentes portes e mercados de atuação passaram a perceber como a proteção de seus "ativos digitais" tornou-se crítica para o próprio negócio. Desde sua simples operacionalização, até aspectos relativos à perda de imagem e valor perante os clientes, a mídia e o mercado de atuação. Seria redundante, pelo seu valor, enfatizar a necessidade de proteção, gestão e defesa dos "ativos digitais" no mercado financeiro. No Brasil, a velocidade e volume das transações bancárias por meio eletrônico já têm o padrão de Primeiro Mundo e a Internet Security Systems - ISS orgulha-se de poder contribuir com a consolidação da sua metodologia de projetos de segurança, apresentada neste Guia. Devemos ter consciência de que Segurança Digital é uma jornada constante, e não apenas um projeto que tem começo, meio e fim. Como as variáveis de mercado mudam a todo momento e ameaças e vulnerabilidades surgem em novos softwares, hardwares, aplicativos, protocolos de rede etc., recomendamos sempre a nossos clientes que tenham este conceito em mente e organizem equipes de defesa, as quais chamamos de "Grupos de Resposta a Ataques". Sites e redes dos grandes bancos, grandes sites de e-commerce (B2B, B2C etc) e também os pequenos comerciantes e profissionais autônomos de prestação de serviços serão permanentemente alvos de ataques. Novas variáveis exigem novas atitudes e medidas de gestão. A Segurança Digital deixa de ser apenas mais um dos componentes da arquitetura de sistemas e/ou tecnologia para ser também alvo das preocupações da alta administração. Já é freqüente a presença de um Diretor/VP de Segurança Digital e estima-se que os balanços tradicionais sejam substancialmente alterados para refletir o real valor das companhias na "Nova Economia", ou seja, o valor dos "ativos digitais". Convido a todos a visitarem com freqüência os sites da FEBRABAN e da Internet Security Systems - ISS em busca de atualização constante deste conteúdo. Leonardo Scudere Presidente - Internet Security Systems Mercosul [email protected]

mailto:[email protected]


INTRODUÇÃO Nos últimos anos a tecnologia da Internet tem experimentado um acelerado ritmo de aperfeiçoamento, criando a base da chamada “Nova Economia”. Este novo modelo de fazer negócios está trazendo inúmeras vantagens às organizações. No caso das instituições financeiras, permite uma redução expressiva de custos e o fornecimento de serviços cada vez mais atraentes aos clientes.

Mas, infelizmente, a “Nova Economia” carrega alguns males da “Velha Economia”. Assim como as organizações, seus clientes e fornecedores estão migrando para a Internet, o crime também está. Como é mais fácil, rápido e barato realizar transações via Internet, é mais fácil, rápido e barato roubar via Internet. Mesmo crimes menos importantes, como depredação e pichação, estão presentes na Internet há muito tempo.

A tecnologia utilizada pelos hackers ou crackers, os criminosos digitais, está presente desde o inicio da Internet e sendo constantemente aperfeiçoada. Ao contrário das empresas e corporações, que têm dificuldade em trocar experiências e informações, a experiência e tecnologia dos hackers e crackers transcendem países, é aberta e de fácil consulta. Cada vez mais as técnicas de invasão estão acessíveis para os usuários da Internet, permitindo que agressores com conhecimentos técnicos limitados possam efetivar ataques bem sucedidos. Como exemplo, a descrição completa de um ataque realizado contra um Banco está descrito no endereço: http://www.phrack.com/search.phtml?view&article=p29-7 . Embora o ataque não tenha tido origem da Internet, as informações estão acessíveis através dela.

Quanto mais aumenta a quantidade de novos usuários domésticos, escolas e empresas, o risco, decorrente da falta de conhecimentos e informações sobre segurança aumenta sensivelmente.

O presente “Guia de Proteção Contra Ataques Via Internet” visa colaborar com as instituições financeiras, empresas prestadoras de serviço de acesso à Internet e clientes do sistema bancário informando sobre as melhores práticas de segurança nas transações via Internet.

O Guia está dividido em duas partes: Conceitos de Segurança da Informação e Proteção contra Ataques via Internet. A primeira parte apresenta conceitos gerais de segurança que são aplicaveis a toda a Organização; e são também vitais para segurança nos negócios via Internet. A segunda parte traz informações técnicas sobre os ataques via Internet e recomendações práticas para defesa.

http://www.phrack.com/search.phtml?view&article=p29-7


SEGURANÇA DAS

INFORMAÇÕES

Segurança não é uma questão técnica, mas uma questão gerencial e humana. Não adianta adquirir uma série de dispositivos de

hardware e software sem treinar e conscientizar o nível gerencial da empresa e todos os seus funcionários.


SEGURANÇA Segurança das informações define-se como o processo de proteção de informações e ativos digitais armazenados em computadores e redes de processamento de dados. Os elementos básicos da segurança das informações são:

Confidencialidade proteger informações confidenciais contra revelação não autorizada ou captação compreensível;

Disponibilidade garantir que informações e serviços vitais estejam disponíveis quando requeridos.

Integridade manter informações e sistemas computadorizados, dentre outros ativos, exatos e completos

As necessidades de segurança e a importância relativa de cada um dos elementos dependem do negócio de cada organização. Para algumas transações financeiras, a disponibilidade de acesso e até mesmo a confidencialidade da transação pode ser menos importante que a sua integridade. Ao identificar o peso de cada um destes elementos em suas transações, as instituições financeiras darão um grande passo para definir sua estratégia de segurança para a Internet. Como exemplo, o quanto pesa um ataque tipo Denial of Service para um Banco ? Para chegar a esta resposta, a empresa deverá antes responder a: 1. Qual o prejuízo em permanecer fora do ar por algumas horas ? 2. Qual o prejuízo à imagem da instituição ? 3. Perderei clientes devido ao ataque ?


IDENTIFICAÇÃO DAS NECESSIDADES DE SEGURANÇA

Necessidades de Segurança As necessidades de segurança das informações são advindas das seguintes fontes: • Avaliação de riscos; • Necessidades legais, contratuais e estatutárias; • Princípios, objetivos e necessidades organizacionais. • Políticas e diretrizes de segurança

Avaliação de riscos Todo processo de proteção de ativos deve ser precedido pela avaliação dos riscos inerentes a cada um destes ativos, para que se possa otimizar a aplicação de recursos de proteção em áreas que ofereçam maior risco aos negócios.

Avaliação de riscos define-se como o processo de identificação de riscos de segurança, determinação de sua grandeza e impacto nos negócios da organização. Suas estratégias podem variar de acordo com os objetivos da organização, podendo caracterizar-se como:

• Risco Global: O risco varia a cada ambiente, mas é constante dentro destes. O método para se mensurar o risco para cada ambiente é baseado na suscetibilidade a ataques apresentada por cada ambiente.

• Vulnerabilidade a ataques: O risco é definido através do resultado de uma análise sobre as redes, determinando como elas poderiam ser atacadas.

• Quantitativa: O risco é definido através do cálculo de uma expectativa de perdas anuais. Este número seria uma combinação entre probabilidade de ocorrência da ameaça durante um ano e o custo de sua ocorrência para a organização.

• Controles básicos: Com base em pesquisas disponíveis, a organização implementa um conjunto de controles comuns utilizados pelo mercado, chamado de conjunto de “controles básicos”. Neste caso ameaças e vulnerabilidades não são consideradas a fundo. Após a implementação dos controles em questão, recomenda-se conduzir um processo de identificação das áreas de maior risco e de avaliação do nível de controle implementado, visando aprimorar-se o cenário.

Nos próximos Capítulos o processo de avaliação de riscos será aprofundado.

Necessidades legais, contratuais e estatutárias A segunda fonte que pode influenciar as necessidades de segurança das informações, refere-se a aspectos legais estatutários e contratuais que uma organização, seus parceiros de negócios, contratantes e provedores de serviços devem atender, destacando-se entre outros: • o dever de diligência dos administradores da companhia que devem adotar as providências

necessárias para a consecução dos objetivos sociais, evitando a ocorrência de fatos que impliquem prejuízos à companhia e por conseqüência aos seus acionistas;

• o respeito à legislação protetiva dos direitos do consumidor, garantindo segurança na prestação de serviços e na comercialização dos bens;


• o respeito à legislação protetiva dos direitos intelectuais, gênero que comporta os direitos do autor, a proteção à propriedade intelectual de programas de computador e a proteção à propriedade industrial;

• a observância aos direitos constituicionais relativamente ao sigilo de dados, intimidade e privacidade e à legislação infra-constitucional própria às instituições financeiras pertinente ao dever de sigilo bancário;

• os aspectos atinentes ao instituto de responsabilidade civil e aos eventos que ensejem a tipificação de crime;

• as determinações do Banco Central do Brasil. Portanto, é importante que a implementação ou ausência de controles de segurança em cada um dos sistemas seja balisada a partir de premissas que permitam à organização determinar o grau de exposição aos riscos e suas conseqüências jurídicas.

Princípios, objetivos e necessidades organizacionais A terceira fonte que pode influenciar as necessidades de segurança das informações refere-se aos princípios, objetivos e necessidades organizacionais de processamento de informações que suportem suas operações de negócios, os quais a organização decidiu aplicar a seus sistemas de informação.

É importante que a implementação ou ausência de controles de segurança em cada um dos sistemas da organização não impeça a eficiência das operações de negócios.


AVALIAÇÃO DE RISCO

Risco Podemos definir risco como a probabilidade de uma ameaça explorar vulnerabilidades para causar perdas ou danos a um ativo ou grupo de ativos da organização. Desta forma, riscos são determinados pela combinação das ameaças, vulnerabilidades e valores dos ativos, valores estes mensurados com base no impacto destes ativos aos negócios da organização, onde impacto se traduz como os resultados de um incidente inesperado. Desta forma, podemos dizer que risco é a possibilidade de uma dada ameaça explorar vulnerabilidades de um ativo ou grupo de ativos para causar perdas ou danos a estes. Durante o processo de avaliação de riscos é importante entender quais danos os riscos de segurança podem causar aos negócios da organização. Uma possível forma seria obter respostas às seguintes questões:

• Quais são as partes mais importantes dos negócios da organização (produtos, serviços, atividades, dentre outros)?

• Como as partes dos negócios são suportadas pelo uso de tecnologia e quão essencial é este suporte?

• O quanto decisões essenciais dependem da atualização, precisão, disponibilidade e integridade das informações?

• Quais informações confidenciais necessitam ser protegidas? • Quais são as implicações de incidentes de segurança, relacionados a informações, para os

negócios e para a organização? Como exemplos de danos podemos citar, dentre outros, os seguintes:

• Comprometimento e roubo de dados; • Destruição de dados; • Perda da integridade dos dados; • Perda da integridade dos sistemas ou da rede; • Perda da capacidade de acesso aos sistemas ou à rede; • Perda de reputação; • Implicações financeiras

!"Impacto sobre Demonstrações Financeiras !"Vantagem competitiva !"Exposição à fraude

• Implicações indiretas à organização !"Interesse dos funcionários na descoberta de determinadas informações !"Efeitos pela descoberta de determinadas informações por funcionários

• Requisitos por confidencialidade e privacidade !"Implicações sobre privacidade !"Penalidades legais pela divulgação de informações

É necessário que processos de identificação e avaliação dos riscos levem em consideração as seguintes recomendações:


1. Adoção de ferramentas automatizadas para (i) identificação das vulnerabilidades existentes nas camadas de rede, sistemas operacionais e banco de dados; (ii) testes interno e externo de invasão;

2. Execução de revisões periódicas de segurança por um auditor ou especialista de segurança, seguindo o princípio da segregação de função, ou seja, não ser o administrador dos sistemas sob teste;

3. Elaboração de plano de ação periódico para (i) estudo de viabilidade de correção de vulnerabilidades, (ii) correção de vulnerabilidades e (iii) criação de controles que minimizem os riscos advindos da impossibilidade de se corrigir quaisquer vulnerabilidades;

4. Uso de técnicas e metodologias para mensurar os riscos inerentes aos ativos da organização;

5. Uso de laboratórios para simulações.

Classificação e identificação de ativos Ativos são elementos aos quais a organização atribui valor e desta forma requerem proteção. Levantamento e gerenciamento de ativos adequados são vitais para o processo de proteção dos ativos da organização. Cada ativo deve ser claramente identificado e devidamente classificado. Desta forma, é desenhada a abordagem que será dada ao processo de análise de riscos como um todo. Inicialmente deveremos estipular uma métrica a ser utilizada como critério para classificar os ativos de maneira ordenada, que permita que os valores dados aos ativos sejam facilmente comparáveis, de forma que a visualização dos ativos mais importantes seja facilitada.

Ao classificarmos os ativos podemos pensar em o quanto este ativo vale para a organização em termos de confidencialidade, integridade e disponibilidade, ou seja, qual o valor do prejuízo que a perda de confidencialidade, integridade e disponibilidade do referido ativo traria à organização e quanto custaria para corrigir os danos causados. Neste caso atribuir um peso para cada ativo em termos de (i) confidencialidade, (ii) integridade e (iii) disponibilidade, poderia ser a abordagem adotada. A partir desta classificação detalhada dos ativos envolvidos, poderemos efetuar os próximos passos do processo de análise de riscos, e efetuar uma relação entre as ameaças, as vulnerabilidades e o valor do ativo. Tal procedimento permitiria um resultado final rico em detalhes.

Este tipo de abordagem poderá consumir um grande esforço da organização, sendo este esforço variável por fatores como (i) a natureza das atividades da organização, (ii) complexidade do ambiente de tecnologia da informação, (iii) nível de dependência da organização em seu ambiente de tecnologia da informação, (iv) determinações de órgãos regulamentadores, dentre outros.

Uma outra abordagem seria atribuir um valor único ao ativo, que represente sua importância em termos de confidencialidade, integridade e disponibilidade, assumindo assim uma abordagem simplificada, que não oferece todo o detalhamento da sugestão anterior, porém oferece possivelmente um maior dinamismo aos trabalhos envolvidos.

Uma terceira opção seria identificar inicialmente os ativos mais importantes para a organização e eles adotar uma estratégia que permita resultados mais detalhados, como a primeira sugestão de abordagem citada acima, e para os ativos de menor importância adotar uma abordagem simplificada, como por exemplo a da segunda sugestão. Caso esta seja a estratégia a ser adotada, a classificação inicial de ativos é de grande importância, pois caso esta classificação esteja incorreta poderemos direcionar recursos excessivos a ativos que não sejam críticos para a organização, ou poderemos dar atenção exagerada a ativos que não necessitem de tanto. Poderemos chegar a conclusões incorretas em função da má classificação inicial dos ativos.


Devemos ainda verificar as possíveis desvantagens de optarmos por uma abordagem complexa que poderá levar o processo de análise de riscos a consumir vários meses, o que pode trazer um impacto negativo na qualidade do resultado final dos trabalhos. Em se tratando de análise de riscos em ambiente Web, em virtude de este ser um ambiente extremamente dinâmico, o resultado de um trabalho de análise de riscos extenso demais pode trazer um falso sentimento de segurança, pois pode resultar em (i) necessidades de segurança que não oferecem mais o nível de segurança desejado no momento da finalização dos trabalhos ou (ii) sugerir objetivos de segurança que perderam a aderência ao ambiente em função de alterações que o ambiente sofreu durante o período em questão, ou por novas vulnerabilidades que surgiram neste mesmo período. Já uma abordagem simples carrega o risco de não serem levantados resultados condizentes com a natureza da organização e com a riqueza de detalhes necessária para contribuir eficazmente com o incremento de seu nível de segurança.

Adicionalmente, para que se possa melhor proteger os ativos, é necessário atribuir valores a estes em termos de sua importância aos negócios ou de seu valor potencial relacionado às oportunidades geradas por seu intermédio. Estes valores são usualmente expressados em termos do impacto de incidentes não esperados aos negócios da organização, tais como perda de confidencialidade, integridade e/ou disponibilidade, o que poderia conseqüentemente gerar perdas financeiras, perdas de receitas, perda de mercado ou danos à imagem da organização, dentre outros.

Identificação de Ameaças Ativos estão sujeitos a uma série de ameaças. Ameaças são causas potenciais de incidentes não esperados, os quais talvez resultem em danos para aos ativos da organização. Tais danos podem ocorrer através de ataques diretos ou indiretos a informações da organização, como, por exemplo, destruição não autorizada, revelação, modificação, corrupção, indisponibilidade ou perda.

Ameaças podem ser originadas de fontes ou eventos acidentais ou propositais. Para que possam efetivamente causar danos aos ativos da organização, ameaças necessitam explorar vulnerabilidades de sistemas, aplicações, serviços ou políticas e procedimentos.

Como exemplos de ameaças podemos citar:

• Acesso e uso não autorizado de informações, sistemas de informações, redes e/ou serviços de rede;

• Software malicioso; • Falhas de sistemas básicos e aplicativos; • Reenvio de mensagens; • Modificação não autorizada de mensagens e informações; • Incêndios e inundações; • Roubo; • Erros humanos; • Ataques baseados em senhas; • Ataques que exploram o acesso confiável; • Engenharia Social; • “Spoofing” do IP (Internet Protocol); • Rastreamento de Pacote (Ingerência); • Exploração de vulnerabilidades tecnológicas; • Exploração de bibliotecas compartilhadas;


• Falhas nos protocolos; • “DoS - Denial of Service”; • “DDoS - Distributed Denial of Service” e • Vírus. Ameaças e danos comerciais às organizações Danos comerciais Ameaças

Efeito material nas demonstrações financeiras Violação de integridade Violação de autorização de acesso Riscos legais

Vantagem competitiva Violação de integridade Troca de identidade para obtenção de privilégios de acesso Espionagem de informações

Exposição a fraudes Violação de integridade Troca de identidade para obtenção de privilégios de acesso Espionagem de informações Repudiação Violação de autorização de acesso Perda de reputação

Implicações indiretas à organização Violação de integridade Troca de identidade para obtenção de privilégios de acesso Espionagem de informações Violação de autorização de acesso

Considerações sobre privacidade Violação de integridade Troca de identidade para obtenção de privilégios de acesso Espionagem de informações Violação de autorização de acesso Perda de reputação Riscos legais

Requisitos de regulamentação Violação de integridade Espionagem de informações Repudiação Violação de autorização de acesso Negação de serviço Riscos legais


Identificação de Vulnerabilidades Vulnerabilidades são pontos fracos associados a um ativo ou grupo de ativos, os quais podem ser explorados por uma ameaça causando incidentes não esperados que talvez resultem em perdas ou danos a estes ativos. Uma vulnerabilidade por si só não causa danos, sendo apenas uma condição ou um conjunto de condições que podem permitir a uma ameaça afetar ativos.

Vulnerabilidades técnicas Como exemplos de vulnerabilidades técnicas podemos citar dentre outras: • Falta de proteção adequada de acesso físico aos equipamentos; • Uso de senhas inseguras; • Vulnerabilidades inerentes da não aplicação de correções em sistemas operacionais; • Vulnerabilidades inerentes da não aplicação de correções em bancos de dados; • Conexões desprotegidas para redes externas, como por exemplo a Internet; • Deficiências em protocolos de comunicação; • Deficiências na configuração dos sistemas.

Vulnerabilidades processuais Como exemplos de vulnerabilidades processuais podemos citar dentre outras: • Armazenamento desprotegido de documentos; • Destruição inadequada de mídias; • Ausência de treinamentos adequados sobre segurança; • Inexistência de “Termos de Responsabilidade” que visem documentar o comprometimento de

cada funcionário com os ativos da organização.

Como detectar vulnerabilidades Para se detectar vulnerabilidades, a recomendação mais eficaz seria a utilização de sistemas do tipo Scanner, destinados a vasculhar as diversas camadas de tecnologia e então tornar claras todas as vulnerabilidades existentes nos sistemas, estejam elas associadas a hosts, dispositivos de rede, sistemas operacionais e bancos de dados, dentre outros. Adicionalmente, faz-se necessária a classificação de cada uma das vulnerabilidades encontradas em termos de risco, para que se possa montar um plano de ação adequadamente priorizado para se eliminar as vulnerabilidades em questão.

Como se manter atualizado quanto a vulnerabilidades Para se manter atualizado quanto a novas vulnerabilidades, é necessário (i) efetuar revisões periódicas de procedimentos, (ii) efetuar revisões periódicas de vulnerabilidades no ambiente computadorizado da instituição, (iii) assinar listas e serviços de conhecimento, (iv) manter contatos freqüentes com os fornecedores de sistemas básicos, (v) participar de fóruns de segurança e (v) ter profissionais e parceiros capacitados atuando em sua estrutura, dentre outros.


Avaliação das políticas e procedimentos de segurança Visando as fases posteriores de “Elaboração de plano de ação” e “Desenvolvimento de soluções”, é necessário que sejam efetuados levantamento e avaliação formal das políticas e procedimentos de segurança em vigor, visando a elaboração de melhorias que visem tornar eficaz o ambiente de segurança da organização.

Vale ressaltar que devem existir políticas e procedimentos que tratem, dentre outros, dos seguintes aspectos:

• Políticas para uso de Internet; • Políticas para uso de email; • Processo de revisão e avaliação das políticas e procedimentos de segurança; • Infraestrutura interna de segurança; • Segurança sobre o acesso de terceiros e prestadores de serviços; • Metodologia para classificação e controle de ativos; • Metodologia para classificação das informações; • Políticas de Pessoal; • Treinamento técnico e de segurança; • Segurança Física e Ambiental ; • Gerenciamento de operações e comunicações; • Proteção contra vírus; • Cópias de segurança; • Trilhas de auditoria; • Gerenciamento de redes de comunicação de dados; • Segurança e manuseio de mídias; • Uso de sistemas e aplicativos (homologação e licenciamento); • Aspectos legais; • Termo de Compromisso de Segurança de Informações e Utilização de Ativos; • Gerenciamento de atribuição de privilégios de acesso; • Configuração de mecanismos de segurança (“Firewall”, sistemas de detecção de intrusos,

antivírus, sistema de controle de acesso, sistemas biométricos, “SecureId”, “Smart Card”, filtros de pacotes, criptografia e assinatura digital, dentre outros);

• Computação móvel e comunicação remota; • Desenvolvimento, manutenção e aquisição de sistemas; • Manutenção de sistemas básicos; • Plano de Continuidade dos Negócios e • Revisões periódicas de segurança.

Avaliação dos controles de segurança Visando suportar o processo de gerenciamento de riscos, é necessário que sejam efetuados levantamento e avaliação formal dos controles de segurança em vigor, visando a determinação de melhorias funcionais ou o planejamento de implementação de controles adicionais que visem tornar eficaz o ambiente de controles da organização.

Como exemplos de controles, podemos citar dentre outros, os seguintes:


• Controles sobre desenvolvimento e manutenções em sistemas básicos e aplicativos; • Controles sobre segurança de acesso físico aos equipamentos e instalações da organização; • Controles sobre aquisição de sistemas básicos e aplicativos; • Separação de ambientes para desenvolvimento, testes e produção; • Controles para atualização da documentação de sistemas; • Controles de identificação e autenticação de usuários para acesso a equipamentos e sistemas,

como por exemplo senhas, SecureID, sistemas biométricos e Smart Cards; • Controle sobre o gerenciamento de privilégios de acesso atribuídos a usuários; • Controles que garantam a disponibilidade das informações, como por exemplo um plano de

ação para a continuidade dos negócios; • Controles que garantam a integridade das informações, como por exemplo campos de

controle de lotes de digitação; • Controles que garantam a confidencialidade das informações, como por exemplo criptografia

com chave pública; • Controles que visem a não-repudiação, como por exemplo assinatura digital; • Controles voltados à geração de trilhas de auditoria, como por exemplo a habilitação de

“logs” disponíveis nos sistemas básicos e aplicativos; • Controles de detecção de intrusos, como por exemplo Sistemas de Detecção de Intrusos (IDS –

Intrusion Detection System); • Controles para garantir o atendimento às políticas e procedimentos de segurança da

organização; • Controles que garantam adequada segregação de funções na área de Tecnologia; • Controles que garantam que apenas aplicativos e sistemas homologados e devidamente

licenciados sejam utilizados pela organização;

Relação entre os componentes de segurança1 O diagrama abaixo mostra a relação entre os componentes de segurança previstos pela British Standard 7799. No centro do diagrama estão os Riscos, cujo controle e redução é o objetivo final da Segurança das Informações. Os Riscos são influenciados diretamente pelas Ameaças e Vulnerabilidades. A existência de ameaças (um hacker, por exemplo) aumenta o nível de risco de um sistema. Simplesmente o ato de disponibilizar um servidor para acesso vindo da Internet aumenta o seu risco ao expô-lo a novas ameaças. As Ameaças exploram ou ocorrem a partir da existência de Vulnerabilidades, dessa forma um hacker ganhará acesso ao sistema explorando uma falha de segurança do sistema atacado.

A existência ou aumento dos Riscos trazem Necessidades de Segurança específicas para combatê-lo. Como exemplo para proteção à ameaça de um hacker, torna-se necessário um sistema que detecte e bloqueie um ataque. Os Riscos também influenciam o Valor e o Impacto Potencial a Ativos.

As Necessidades de Segurança são implementadas com Controles, que protegem a organização das Ameaças.

1 Guide to BS 7799 Risk Assessment and Risk Management, pág. 21

Guia de Proteção contra Ataques Via Internet

Controles

Necessidades de Segurança

a

Vulnerabilidades Ameaças
Exploram
Ativo

Valores e Impacto Potencial a Ativos

Riscos

m
Expõem
s

m
Tê implementadas com
Protegem contr

Aumenta
Indicam
Aumentam
Aumentam
17


GERENCIAMENTO

Gerenciamento dos Riscos Pode-se dizer que o risco aceitável ou tolerável por uma organização é definido através da comparação dos riscos de exposição a determinadas ameaças com o custo das soluções de segurança que visem defender a organização de tais ameaças. Atenção deve ser dada para a escolha da solução de segurança a ser implementado visto que pode (i) não ser atrativa em termos de custo / benefício, (ii) impor perdas de desempenho, (iii) não ser compatível com o ambiente computadorizado atual da organização.

Gerenciamento de riscos é o processo de definição e aplicação de controles de segurança dentro de uma organização, controles estes projetados proporcionalmente aos riscos avaliados, visando minimiza-los a ponto de torná-los aceitáveis ou toleráveis pela organização. Este processo se inicia com a finalização dos processos de (i) identificação e classificação de ativos, (ii) identificação de ameaças, (iii) identificação de vulnerabilidades, (iv) identificação do risco tolerável e (v) avaliação dos controles de segurança.

Controles podem ser caracterizados como práticas, procedimentos e mecanismos, dentre outros, os quais podem proteger os ativos contra ameaças, reduzir vulnerabilidades, limitar o impacto de incidentes ou proteger quaisquer outras formas que influenciem os riscos.

É necessário que a organização mantenha uma matriz contendo, para cada ativo identificado: (i) sua classificação, (ii) as ameaças a ele associadas, (iii) as vulnerabilidades que poderão ser exploradas por cada ameaça, (iv) o valor de risco mensurado para cada vulnerabilidade e (v) os controles em vigor que possam amenizar os riscos de exploração de cada vulnerabilidade. Por ela a organização poderá identificar quais áreas necessitam da implementação de controles adicionais ou quais áreas necessitam de melhorias nos controles existentes. De posse destas informações, a organização poderá montar uma outra matriz comparando os valores dos riscos das áreas/vulnerabilidades que necessitam de investimentos com os valores das soluções propostas para amenizar tais riscos.

A segurança efetiva geralmente requer uma combinação de controles, os quais podem executar uma ou mais funções de detecção, retrocesso, prevenção, limitação, correção, recuperação, monitoração e anúncio.


ATAQUES VIA INTERNET


ATAQUES

Perfil do Invasor Ainda nos dias de hoje predomina a figura do invasor ou cracker como um gênio jovem ou adolescente querendo apenas se divertir nas horas vagas. Embora este tipo de invasor ainda exista, a mudança da economia para um modelo digital, via Internet, está causando o aumento de outro tipo de invasor: o profissional.

Enquanto os jovens querem apenas obter acesso gratuitamente sites Internet, brincar de pichação virtual e mostrar aos amigos sua capacidade; os hackers profissionais, também conhecidos como crackers são ladrões de fato. É esperado que o crime organizado proporcione um aumento dos investimentos no furto via Internet, dando aos invasores infraestrutura comparável à de suas vítimas.

Historicamente a maior parte dos ataques ocorre em horário noturno ou na madrugada. Isto se deve a uma série de fatores, entre eles a maior disponibilidade e velocidade do acesso neste período, mas principalmente por ser um horário na qual o sistema possa estar desguarnecido. Daí algumas observações importantes:

• O site Internet nunca pode permanecer desguarnecido. O uso de ferramentas automáticas ajuda nesta tarefa;

• Os logs das atividades noturnas devem ser cuidadosamente analisados no dia seguinte.

Motivos Os motivos para um ataque são muitos. É importante conhecê-los porque nem sempre o objetivo de uma invasão ou ataque a uma instituição financeira é o ganho financeiro.

Seguem abaixo alguns motivos que poderiam motivar o ataque a uma instituição financeira:

• Ganhos Financeiros - Com freqüência, os intrusos são funcionários que obtêm acesso a sistemas financeiros para roubar dinheiro (através da transferência eletrônica de fundos).

• Vingança - Outra importante motivação para entrada não-autorizada em sistemas e rede é a vingança de funcionários descontentes e ex-funcionários.

• Necessidade de Aceitação ou Respeito - Muitos intrusos se dedicam a atividades ilegais devido à necessidade de aceitação e/ou respeito de outras pessoas, e não por cobiça ou vingança. Com freqüência, membros de clubes de crackers ganham aceitação ao cometerem atos de intrusão. Atacar com sucesso um grande Banco é sem dúvida importante para o currículo de um cracker.

• Idealismo - Alguns intrusos atacam sistemas por razões idealistas. Eles se vêem como heróis protegendo o mundo de operações clandestinas de coleta de dados por parte do governo ou contra empresas “inimigas”. Por exemplo, poderiam atacar Bancos por acreditar que “o Governo deixa de ajudar os pobres para dar dinheiro aos Bancos”.

• Curiosidade ou Busca de Emoção - Outro motivo muito comum para a intrusão em sistemas é a curiosidade. Alguns intrusos simplesmente querem saber "o que existe naquele sistema" ou “como é dentro de um Internet Banking ?”.

• Aprendizado - Uma pequena parte daqueles que violam sistemas fazem isso para aprender mais sobre cracking. Mais uma vez, as instituições financeiras são alvos excelentes, já que são normalmente consideradas como ambientes seguros, com grande investimento em tecnologia.


• Espionagem Industrial - A espionagem industrial ocorre quando uma empresa ou organização se dedica a atividades ilegais contra outra empresa ou organização para obter vantagens comerciais.

Fases de um ataque Um ataque via Internet é um processo estruturado e planejado com antecedência. Quanto mais experiente for o invasor, mais tempo ele irá dedicar à tarefa de planejar o ataque. Em linhas gerais, um ataque via Internet não é diferente de uma invasão física e os métodos utilizados para aproximação e ataque são semelhantes.

Normalmente os ataques seguem as fases descritas abaixo.

Planejamento / Coleta de Dados O ponto de partida de um ataque é a coleta de informações e dados sobre o site ou servidores do alvo. O invasor tentará obter o máximo possível de informações sobre seu alvo. Muitas vezes o invasor não faz nenhum acesso ao site diferente do considerado normal.

Particularmente o invasor estará interessado em:

• Topologia do site; • Informações úteis para ataques por engenharia social como números de telefone, nomes de

diretores e gerentes, endereços, etc... • Tipos de serviços disponíveis; • Cadastro da instituição na Internet (consultado no Brasil via Fapesp); • Ataques anteriormente executados contra a organização.

Aproximação Após a coleta de dados e planejamento do ataque, o invasor iniciará a chamada aproximação. Nesta fase o invasor efetivamente começa a testar tecnicamente o site através de ferramentas e utilitários específicos. Neste momento o invasor normalmente já está utilizando técnicas de spoofing para mascarar seu endereço de rede e dificultar o rastreamento.

As atividades normalmente desempenhadas nesta fase são:

• Identificação do melhor meio de acesso à instituição, determinando o caminho e os filtros de acesso implementados nos roteadores e firewalls;

• Acesso ao servidor DNS em busca da mais informações sobre endereços e hosts do site. Entre estas informações estão sistemas operacionais, endereços de firewall e roteadores internos, entre outros. Tenta-se neste momento a transferência de zona, na qual todas as informações DNS são ‘roubadas’ pelo invasor;

• Listagem dos serviços TCP e UDP disponíveis através de técnicas de port scan. Com o port scan é possível confirmar sistema operacional e aplicativos em uso, e descobrir as versões de ambos;

• Com o conhecimento das portas abertas, sistemas operacionais e aplicativos em uso, arquitetura do site e outras informações, o invasor passa a testar diretamente os hosts buscando vulnerabilidades e falhas de segurança. As informações são então consolidadas com informações de técnicas de ataque e vulnerabilidades disponíveis na Internet, em diversos sites mantidos por hackers;

• Em alguns casos, invasores mais estruturados como quadrilhas organizadas poderão montar um laboratório para o ataque reproduzindo o site a ser atacado e simulando o ataque. Este laboratório será fonte de informações valiosas, como o que o invasor deverá esperar do ataque


e a visão da vítima. Sobretudo irá ajudar o invasor a detectar armadilhas como sistemas de honey pot2 e ajudar o invasor a planejar como ele poderá apagar logs e outros rastros.

A partir deste momento, o invasor já sabe como irá invadir o site, rotas e métodos alternativos e até como se proteger, para iniciar o ataque.

Invasão Não há muito que falar sobre a invasão propriamente dita. Neste momento o invasor colocará em operação tudo o que estudou sobre o site e o que planejou para o ataque. Ele estará atento para quaisquer desvios de padrão de ataque que possam significar uma armadilha, mas também estará atento para novos caminhos e possibilidades a partir do que ele for descobrindo enquanto se consolida a invasão.

Muitas vezes a simples identificação de que o alvo possui algum sistema de defesa mais elaborada faz com que invasores menos estruturados (atualmente ainda a maioria) desistam de sua prática.

Muitas vezes a invasão se dá em partes. Como as técnicas militares de desembarque anfíbio, no qual o atacante estabelece as cabeças de praia, o invasor pode em um primeiro momento implantar um sensor para coleta de dados para posteriormente consolidar o ataque. Como exemplos, o invasor poderá implantar um backdoor para acesso remoto ou sistema trojan para rastreamento de senhas

Exploração Uma vez que a invasão esteja consolidada, o invasor iniciará a exploração das informações disponíveis na rede da organização atacada. A permanência do intruso irá variar, mas pode chegar a vários dias.

2 Sistemas de Honey Pot são simuladores de servidores que se destinam a enganar um invasor, deixando-o pensar que está invadindo a empresa enquanto a equipe de segurança ganha tempo para rastrear o ataque


PREVENÇÃO

Princípios

Menor Privilégio O princípio fundamental de uma estratégia bem-sucedida de segurança é o do menor privilégio. Por privilégio entende-se qualquer função ou direito que um usuário ou programa tenha acesso. De acordo com o princípio, todos os elementos existentes (usuários, administradores, programas, sistemas, etc.) deveriam apenas ter os privilégios e direitos de acesso necessários para que eles executem suas funções. De acordo com a BS7799, “a alocação e uso dos privilégios deveria ser restringida e controlada”.

A aplicação deste princípio não elimina os riscos ou impede os ataques, mas reduz uma série de ataques que são possíveis por erros de configuração no perfil de acesso de usuários e programas. Uma das principais falhas é da generalização, normalmente utilizada para “facilitar” o gerenciamento.

O conceito de menor privilégio deve ser aplicado na (i) configuração de perfis de acesso de usuários e programas, (ii) filtros de acesso de roteadores e firewall, (iii) configuração de trust entre servidores. Dois exemplos da não aplicação do princípio em um ambiente Internet são:

1. Os roteadores e firewalls são configurados para liberar todo o tráfego com exceção de um ou outra porta TCP ou UDP; normalmente utilizados para ataques.

!"O enfoque correto é conhecer o tipo de tráfego necessário para o funcionamento das aplicações Internet e bloquear qualquer tipo de acesso com exceção das portas necessárias para as aplicações.

2. Os operadores noturnos recebem mais privilégios do que necessitam para sua função. Quanto mais contas de acesso com privilégios avançados existirem, mais possibilidades os invasores recebem para um ataque.

!"Os operadores e quaisquer usuários que não tenham o papel de administrador devem receber apenas os direitos mínimos e necessários para executar suas funções.

3. Mesmo que o fluxo de comunicação das aplicações sejam apenas da rede interna para a DMZ e não vice-versa; acaba-se liberando o tráfego da DMZ para a rede interna.

!"O enfoque correto é estabelecer regras de firewall de acordo com o fluxo de comunicação das aplicações. Se o servidor A na DMZ não inicai comunicação com o servidor B na rede interna o firewall deveria bloquear que o servidor A dê inicio à comunicação.

Contas de Usuário Administrador O princípio aplica-se também para o uso das contas de usuário com perfil e direitos de administrador de sistema. A organização deverá, em sua Política de Segurança, definir critérios para essas contas. O uso das contas deverão ser controladas e auditadas periodicamente. Além disso, a organização deverá limitar a quantidade de contas existentes para o mínimo possível.

Plano de Resposta a Ataques Todas as instituições financeiras devem organizar um Plano de Resposta a Emergências e compor uma equipe responsável por sua implementação e execução. Além das habilidades técnicas necessárias a equipe deverá ter contato direto com a alta gerência da organização. Nos Anexos estão listados vários sites que oferecem informações úteis para compor a equipe. Uma alternativa


é a terceirização dessa tarefa com uma empresa que ofereça Serviços de Resposta a Emergências. O Plano de Resposta a Emergências deverá estar incluso na política de segurança da empresa.

Detecção e Correção de vulnerabilidades As portas de entrada para os ataques são conhecidas como vulnerabilidades. Estas poderão ser causadas por erros humanos como falhas de configuração e técnicos como bugs em software. No capítulo sobre ataques todos os ataques descritos ocorriam a partir de alguma vulnerabilidade. Na medida que os software são estudados, novas vulnerabilidades são descobertas. Cada nova versão de software traz também novas vulnerabilidades. Devido a esse aspecto, todas as instituições financeiras deveriam criar um programa permanente de detecção e correção de vulnerabilidades.

Um programa bem sucedido de detecção e correção de vulnerabilidades utiliza como recursos informações publicadas pelos fabricantes, softwares de detecção de vulnerabilidades comerciais ou públicos, alertas de organizações e empresas de segurança e sites utilizados por hackers.

As principais empresas que atuam no segmento de software segurança como Cisco, Network Associates, Axent e Internet Security Systems comercializam sistemas de detecção de vulnerabilidades. É possível encontrar na Internet software público como Nmap, Nessus, Satan e outros (muitos deles também usados por invasores). No SANS3 pode ser encontrado uma relação de software disponível.

Deve-se possuir dois enfoques: Preventivo e Reativo.

• O enfoque preventivo é baseado em testes periódicos (diários para os servidores e equipamentos mais críticos). Estes testes também são úteis para detectar alteração de configuração de servidores, trojan horses instalados e suscetibilidade à ataques DoS.

• O enfoque reativo é executado sempre que se suspeitar de alguma invasão ou tentativa.

Rotas e Links de acesso ao Internet Banking As rotas de acesso ao Internet Banking devem ser cuidadosamente planejadas e monitoradas. Muitas vezes pode-se chegar a um servidor crítico a partir da rede interna, ou a partir da rede de uma empresa fornecedora ou coligada.

O padrão de tráfego nos links de acesso devem ser conhecidos e um baseline deve ser criado mantido atualizado. Conhecer o padrão de tráfego significa conhecer não apenas o volume de tráfego nos diferentes dias da semana e horários, mas também os serviços (portas TCP e UDP) acessadas e o padrão de carga dos servidores e roteadores. Esse baseline vale tanto para o tráfego vindo da Internet como da rede interna. Quaisquer mudanças no padrão devem ser analisadas cuidadosamente, pois podem significar um ataque.

Dependendo do caso, usar links dedicados para o acesso ao Internet Banking pode facilitar a monitoração do baseline, embora adicionar mais portas de acesso significa adicionar portas de ataque.

Monitoração permanente Monitorar significa acompanhar momento a momento o tráfego e o acesso aos servidores e serviços do site. A monitoração pode ser a diferença entre uma invasão bem sucedida ou não. Muitas vezes um invasor permanece dias “dentro” do site sem que seja detectado.

O que deve ser monitorado e como ?

3 http://www.sans.org


• Rede: através de sistemas de deteção de intrusos e sniffers; • Servidores: através de logs do sistemas operacional, banco de dados e aplicativos; • Roteadores e switches nível 3: logs dos sistemas • Firewall: logs do sistema operacional e logs do aplicativo de firewall.

Os sistemas de deteção de intrusos e sistemas de gerenciamento de servidor são úteis para detectar eventos suspeitos e enviar alarmes quase em tempo real. Os sistemas de gerenciamento de servidores informam quando os recursos do servidor (memória, disco, etc.) estão sobrecarregados e podem causar a queda do serviço.

Os logs de servidores, equipamentos de conectividade e firewall deveriam ser enviados para outro servidor, encarregado de sua análise. Algumas ferramentas facilitam esse processo ao automatizar a análise do log. Algumas conhecidas e disponíveis na Internet são logsurfer4 e swatch5.

O envio dos logs para outro servidor é importante para evitar que o invasor apague os logs após o ataque. A instituição financeira deveria dedicar este servidor também para o armazenamento de logs. O armazenamento de logs e a criação de arquivos históricos é importante para investigações e processo de análise forense.

O acesso suspeito de usuários (acesso fora do padrão de horário e com execução de tarefas diferente do padrão) dever também ser analisado diariamente.

Classificação Todos os componentes e ativos devem ser classificados quanto a confidencialidade, integridade e disponibilidade. A classificação permite que a instituição possa selecionar os recursos de segurança de que deverão ser aplicados a cada ativo. A fórmula abaixo pode ser usada para cálculo do risco:

RISCO = VULNERABILIDADE x AMEAÇA x VALOR DO ATIVO*

*valor quanto a confidencialidade, integridade e disponibilidade

!"Por exemplo, se um servidor não possui valor quanto a disponibilidade (a queda do servidor não causa nenhum dano à aplicação Internet ou prejuízo para a instituição) o risco dele quando a disponibilidade é zero. Se o risco é zero, porque usar recursos de segurança (software, hardware e pessoas) para protegê-lo de um ataque Denial of Service ?

É errado dizer que todos os ativos tem o mesmo grau de risco. Ao deixar de analisar seus ativos a instituição perde a oportunidade de mensurar seus riscos.

4 http://www.cert.dfn.de/eng/logsurf 5 ftp://ftp.stanford.edu/general/security-tools/swatch


Componentes de Arquitetura Segura para Internet A arquitetura de um site Internet seguro para aplicações bancárias e comércio eletrônico deveria incluir os componentes listados abaixo:

• Segmentação de Rede; • Firewalls; • Autenticação; • Criptografia; • Detecção de Intrusos; • Segurança interna nos servidores. Os componentes de segurança não devem ser tratados como componentes individuais mas como parte de um sistema único, integrando-os quando possível.

Segmentação de Rede O conceito de segmentação da rede é hoje quase que universalmente aceito pela maior parte das empresas. O principal uso da segmentação é a instalação de DMZs. A implementação mais simples de DMZ é:

InternetRouter Hub

DNS eMail HTTP

Firewall

RedeInterna

Figura 1 - DMZ simples

Esta arquitetura é arriscada por não proteger efetivamente os servidores de acesso público. Mesmo os servidores de acesso público devem estar protegidos por um sistema de firewall:

InternetRouter

DNS eMail HTTP

Firewall

RedeInterna

Hub

Figura 2 - DMZ única, protegida por firewall

Embora esta arquitetura seja mais segura ela não atende aos requisitos de segurança de um site para aplicações e-business e/ou Internet Banking. Estas aplicações normalmente possuem um nível de aplicação front-end e um nível de aplicação back-end. O público deveria apenas ter acesso aos servidores de front-end e apenas estes teriam acesso aos servidores back-end. Estes servidores acessariam servidores corporativos localizados na rede interna (e apenas os servidores necessários). Os servidores de outros serviços, como DNS, email e HTTP institucional deveriam


estar segregados em outra DMZ, conforme mostrado no diagrama a seguir. Cada DMZ deve possuir suas próprias regras de acesso, configuradas no firewall. Como exemplo, apenas os protocolos necessários para comunicação com os servidores de banco de dados seriam permitidos na DMZ “backend”. Se necessário servidores de autenticação poderão ser instalados para aumentar o grau de segurança. Todos os servidores localizados nas DMZs deverão ser cuidadosamente monitorados.

Os hubs ou outras tecnologias de rede compartilhada devem ser substituídos por switches. Os switches segregram o tráfego e reduzem a eficiência de ferramentas como sniffer.

Outra questão importante é do fluxo de comunicação, mostrado no diagrama pelas setas. Regras no firewall devem ser configuradas para garantir que apenas o fluxo previsto na aplicação seja possível.

Internet

RouterDNS eMail HTTP

Firewall

RedeInterna

Switch

Database Database

Switch

AplicaçãoSwitch

DatabaseCorporativo

DMZ PÚBLICA

DMZ PRIVADAFRONT END

DMZ PRIVADABACKEND

Figura 3 - DMZs múltiplas

Firewalls Firewalls são sistemas que tem como objetivo estabelecer regras e filtros de tráfego entre duas redes. Os firewalls são utilizados como a primeira linha de defesa contra ameaças externas a uma rede. Por ser a primeira linha de defesa, os sistemas de firewall devem ser cuidadosamente instalados e gerenciados. No caso de firewalls instalados em servidores (normalmente Windows NT e Unix) o sistema operacional deve também ser cuidadosamente configurado para o nível máximo de proteção.

Na figura 3 é mostrado o uso típico de um firewall, segregando e controlando o tráfego entre várias redes. A arquitetura da implementação segue alguns princípios gerais embora dependa de cada site, sua topologia e aplicações. Como exemplo, na figura 3 é mostrado um único firewall protegendo todos os ambientes. Em algumas implementações, são utilizados dois ou três firewalls em sequência, algumas vezes de tecnologias e modelos diferentes. Na seção de Instalação algumas questões de implementação serão abordadas.


Nem todos os modelos de firewall são iguais. Exitem três tipos básicos de firewall, sendo que algumas implementações combinam os tipos e chegam a implementar novas funcionalidades.

Há também implementações que combinam o software de firewall e sistemas operacionais proprietários. Outros rodam sobre sistemas operacionais de mercado, como Unix e Windows NT.

A tabela abaixo apresenta os tipos básicos de firewall, do menos seguro para o mais seguro.

Filtro de Pacotes Este tipo de firewall restringe o trafégo a partir de regras baseadas em protocolo, porta de conexão e endereços destino e origem; não analisando o conteúdo do pacote ou exigindo algum tipo de autenticação. Pode ser implementado na maior parte dos roteadores. Algumas implementações mais avançadas efetuam um acompanhamento das sessões, no que é chamado de stateful inspection.

Proxy de Conexão Este tipo de firewall atua como intermediário nas conexões. Dessa forma um usuário sempre conecta-se primeiro ao firewall e este encaminha as requisições para o destino. Possuem funcionalidade de autenticação do usuário.

Proxy de Aplicação A operação básica é a mesma que a do proxy de conexão, porém este tipo analisa o pacotes, garantindo que eles estão em conformidade com os protocolos e aplicações. Por exemplo, um pacote SMTP (porta TCP-25) é analisado para garantir que ele está em conformidade com o protocolo SMTP, ou seja, se ele realmente é um pacote SMTP. Possuem funcionalidade de autenticação do usuário.

Autenticação Através de autenticação é possível identificar um usuário e associá-lo com o perfil de acesso necessário para suas funções. Junto com a autenticação estão os recursos de não-repúdio; ou o acompanhamento (log) de todas as atividades executadas pelo objeto, evitando-se assim que o um usuário negue ou recuse a autoria de uma transação. Quanto maior a segurança da autenticação maior a segurança do não-repúdio.

Há três tipos básicos de autenticação, que variam em grau de segurança e complexidade: a autenticação baseada em algo que o usuário possui (como um cartão de Banco), a autenticação baseada em algo que o usuário conhece (como a senha) e a autenticação baseada em algo que lhe pertence (como a identificação biométrica).

Todos os tipos de autenticação são vulneráveis à falhas, e a melhor solução é utilizar dois ou mesmo os três tipos combinados. Atualmente o mais comum é utilizar o primeiro e o segundo tipo de autenticação. O acesso a um “caixa 24hs” utiliza algo que o cliente possui (um cartão) combinado com algo que ele lembra (uma senha). Para acessos remotos, incluindo Internet, é possível utilizar também estes dois tipos combinados. Certificados Digitais ou tokens de senhas dinâmicas podem substituir o cartão eletrônico.

É importante notar que a solicitação de informações pessoais como confirmação de senha aumenta a complexidade da autenticação mas não constitui o uso de técnicas diferentes. São várias instâncias do método “algo que o usuário conhece”.

Alguns dos métodos de autenticação mais utilizados são:


• Senhas reutilizáveis – elemento básico de autenticação e também o mais frágil a ataques. Neste capítulo apresentamos uma tabela com padrão de senhas recomendáveis.

• RADIUS ou TACACS – protocolos de autenticação, autorização e controle de acesso bastante usado, que aperfeiçoam um sistema de autenticação baseado em senha.

• PAP/CHAP – protocolos de autenticação simples, baseados em senhas. • Assinaturas ou Certificados Digitais – apenas o usuário ou dono do certificado tem sua posse,

e permanecem gravados em mídia magnética. São garantidos por entidades ou empresas que atuam como “cartório digital”. São bastante seguros quanto a interceptação, entretanto podem ser roubados do computador de um usuário ou de um disquete de backup.

• Senhas dinâmicas – tratam de cartões que trazem senhas que se alteram dinâmicamente, sendo impossível alguém determinar qual a próxima senha a utilizar. Os cartões podem ser roubados do usuário e portanto não devem ser usados sem uma senha complementar fixa, memorizada pelo usuário.

• Identificação biométrica – trata-se ainda de uma nova tecnologia para identificação pela íris, voz, impressão digital e outros.

Criptografia Criptografia é um elemento essencial para qualquer implementação de e-business e Internet Banking. A maior parte dos Bancos utilizam criptografia para a comunicação, ou seja, protegem o dado enquanto o mesmo está em trânsito. Uma vez armazenado, o dado é mantido sem criptografia. As instituições financeiras devem avaliar a necessidade da implementação de criptografia também para o armazenamento de dados. Há casos que dados confidenciais de clientes, não criptografados, foram roubados de servidores de armazenamento.

Sistemas de Detecção de Intrusos (IDS) Os sistemas de detecção de intrusos (IDS) procuram por tráfego ou eventos suspeitos de acesso ilegal. A detecção de intrusos é realizada de dois modos:

• Sensores procuram por “assinaturas” de ataques, que são os métodos utilizados por invasores e catalogados no IDS;

• Sensores detectam alguma atividade suspeita, seja por eventos não esperados ou diferentes do perfil normal de um usuário ou aplicação.

Os IDS de rede tem a vantagem de proteger todo um segmento de rede, embora sejam limitados por não poder “ver” o que acontece “dentro” dos servidores. Os IDS de rede examinam os tipos e conteúdo dos pacotes trafegados; IDS baseados em servidores examinam as trilhas de auditoria e log de atividades. Uma implementação completa de IDS deverá utilizar ambos os tipos de IDS.

Segurança de Servidores Todos os servidores que participam de um sistema e-commerce ou Internet Banking devem estar com o nível máximo de segurança do sistema operacional implementado, independente de estar protegido por firewalls, IDS e outros componentes de segurança. Os seguintes itens devem ser implementados nos servidores:

• Deve-se criar uma baseline de segurança, com os requisitos mínimos de segurança e configuração;

• Testes de vulnerabilidade no sistema operacional e banco de dados devem ser executados periodicamente e as vulnerabilidades detectadas corrigidas imediatamente;

• Implementação de todas as recomendações de segurança fornecido pelos fabricantes;


• Implementação do nível máximo de segurança disponível para o sistema operacional. Como exemplo, nível C2 para o Windows NT;

• Criação de política de uso e revogação de senhas. Todos os usuários cadastrados no servidor deverão utilizar senhas no mínimo alfanuméricas e compatíveis com a “Tabela de Senhas Boas e Más”, apresentada na sessão “Senhas”.

• Os logs dos servidores devem ser coletados e armazenados em um servidor dedicado para a função. Isso evitará que um invasor apague os logs para dificultar seu rastreamento. Os logs deverão ser analisados constantemente em busca de atividade suspeita. Os relógios de todos os servidores e firewall deverão estar sincronizados para permitir a auditoria dos logs.

Gerenciamento O gerenciamento é o fator chave de todo o processo de implementação de segurança. Não adianta instalarmos dispositivos de hardware e software sem que os mesmos sejam monitorados pois, por mais sofisticados que sejam, a capacidade de tomada de decisão de um software não se compara com a capacidade humana. Os dispositivos de hardware e software auxiliam o ser humano na tarefa de monitoração mas não o substitui.

O principal elemento para um gerenciamento eficaz é a capacitação técnica da equipe. Além disso todas as atividades relacionadas com gerenciamento de segurança (servidores e componentes de segurança) devem ser realizadas a partir de estações de gerenciamento previamente autorizadas nas regras de controle de acesso.

Visão Geral da Arquitetura O diagrama abaixo apresenta a arquitetura geral de um site com os componentes de segurança localizados. É importante ressaltar que o diagrama está simplificado. Os itens abaixo devem ser observados:

• A implementação com um único firewall para todas as DMZs está mostrado como exemplo. Sites mais complexos, com grande quantidade de acessos, são implementados com dois ou mais firewalls;

• O diagrama não apresenta redundância para os componentes de segurança. Em sites de alta disponibilidade todos os componentes devem estar duplicados;

• O diagrama não mostra a rede de gerência dos componentes de segurança. Uma rede isolada deve ser implementada para comunicação do firewall e IDS com a console de gerenciamento de segurança. Toda a comunicação entre os sensores deve ser criptografada. A estação de gerência deve ser considerada como de alto risco e ter o nível máximo de segurança implementado;

• Todos os servidores da DMZ e o servidor corporativo deverão estar protegidos com IDS baseado em servidor;

• Não está mostrado o servidor para armazenamento de logs.


Internet

RouterDNS eMail HTTP

Firewall

RedeInterna

Switch

Database Database

Switch

Aplicação

SwitchDatabase

Corporativo

DMZ PÚBLICA

DMZ FRONT END

AutenticaçãoIDS

IDS

IDS

DMZ BACK END

IDS

FiltrosdeAcesso

Console deSegurança

Acesso Remoto

Figura 4 - Diagrama Geral


Recomendações para Instalação

Firewall O primeiro nível de firewall deve ser implementado já no roteador de perímetro ou borda, localizado entre o firewall e a Internet. Os filtros de acesso configurados no roteador constituem um firewall de filtro de pacotes. Os seguintes padrões deverão ser observados ao configurar o roteador de borda:

• RFC 1858: Security Considerations for IP Fragment Filtering • RFC 2267: Network Ingress Filtering: Defeating Denial of Services Attacks Which Employ IP

Source Address Spoofing • RFC 2644: Changing the Default for Directed Broadcasts in Routers

Independente do modelo de firewall devem ser implementados vários controles, como:

• Serviços permitidos – Os serviços que poderão passar pelo firewall serão restringidos somente ao necessário para disponibilizar uma determinada aplicação ou função. Estas restrições serão aplicadas separadamente para cada uma das redes que o firewall interconecta.

• Restrição do fluxo de comunicação – A direção dos fluxos de comunicações será analisada e controlada entre as redes que o firewall interconecta. Para isso será definido um modelo de comunicação segura, que será documentado e monitorado.

• Controle de Acesso – O grupo de sistemas ou usuários com acesso aos sistemas será definido e controlado.

• Tradução de Endereços – A utilização de NAT permite que a topologia da rede interna seja “escondida” dos usuários externos através da utilização de grupos de endereçamento diferentes, sendo um grupo de endereços para acesso a rede externa e outro grupo para acesso a rede interna, e finalmente definindo-se uma mapeamento entre os dois grupos.

• Protocolos – De forma a dificultar o scan do firewall na tentativa de descobrir quais protocolos passam através do mesmo, o firewall não deve retornar mensagens como host unreachable, port unavailable, time exceeded, etc.

Regras para Filtragem de Pacotes Um dos recursos muito utilizados por invasores é o traceroute, com objetivo de mapear a rede alvo. Existem dois tipos diferentes de pacotes de testes que podem ser utilizados para efetuar o traceroute. Versões de UNIX geralmente utilizam pacotes UDP para números de portas altos que normalmente não seriam usadas. Sistemas Windows utilizam pacotes ICMP Echo Request (exemplo: PING). É necessário reconfigurar o Firewall e/ou roteadores para desabilitar o recebimento de pacotes UDP para portas com numeração alta, bem como ICMP requests.

Embora a abordagem ideal seja de bloquear todo o tráfego por default, liberando apenas os protocolos usados pelas aplicações, a lista abaixo apresenta protocolos e portas que, de acordo com o CERT Coordination Center, deveriam ser filtrados em firewalls:

• DNS zone transfers socket 53 (TCP) • tftpd socket 69 (UDP) • link socket 87 (TCP) • SunRPC & NFS socket 111 and 2049 (UDP and TCP) • BSD UNIX "r" cmds sockets 512, 513, and 514 (TCP) • lpd socket 515 (TCP) • uucpd socket 540 (TCP)


• openwindows socket 2000 (UDP and TCP) • X windows socket 6000+ (UDP and TCP)

Portas Utilizadas por Backdoors e Trojans A tabela abaixo apresenta uma lista de backdoors e trojans conhecidos e as portas utilizadas. Toda a informação contida na Tabela pertence e é de responsabilidade da Braun Consultants and Simovits Consulting6. A atualização é de Março de 2000.

Todas as instituições deveriam monitorar o tráfego dessas portas, que poderá identificar a tentativa de conexão com um backdoor já instalado. Um Sistema de Detecção de Intrusos poderá auxiliar nesta tarefa.

Lista de Backdoor, Trojans e portas utilizadas OBS.: Os autores autorizam sua reprodução desde que a fonte seja fornecida.

As portas menores são normalmente utilizadas por trojans que roubam senhas e as enviam por email para os intrusos ou a armazenam em servidores FTP. As portas maiores são normalmente utilizadas por trojans de acesso remoto que podem ser acessados via rede. • port 2 - Death • port 21 - Back Construction, Blade Runner,

Doly Trojan, Fore, FTP • trojan, Invisible FTP, Larva, Net

Administrator, Senna • Spy FTP Server, WebEx, WinCrash • port 23 - Tiny Telnet Server, Truva Atl • port 25 - Ajan, Antigen, Email Password

Sender, Haebu Coceda (Naebi), • Happy 99, Kuang2, NewApt, ProMail

trojan, Shtrilitz, • Stealth, Tapiras, Terminator, WinPC,

WinSpy • port 31 - Agent 31, Hackers Paradise,

Masters Paradise • port 41 - DeepThroat • port 48 - DRAT • port 50 - DRAT • port 59 - DMSetup • port 79 - Firehotcker • port 80 - Executor, Hooker, RingZero • port 99 - Hidden Port • port 110 - ProMail trojan • port 113 - Kazimas • port 119 - Happy 99

• port 6000 - The Thing • port 6272 - Secret Service • port 6400 - The Thing • port 6667 - ScheduleAgent • port 6669 - Host Control, Vampyre • port 6670 - DeepThroat • port 6711 - SubSeven • port 6712 - SubSeven • port 6713 - SubSeven • port 6771 - DeepThroat • port 6776 - 2000 Cracks, BackDoor-G,

SubSeven • port 6912 - Shit Heep (not port 69123!) • port 6939 - Indoctrination • port 6969 - GateCrasher, Priority, IRC 3 • port 6970 - GateCrasher • port 7000 - Remote Grab, Kazimas,

SubSeven • port 7215 - SubSeven • port 7300 - NetMonitor • port 7301 - NetMonitor • port 7306 - NetMonitor • port 7307 - NetMonitor • port 7308 - NetMonitor

6 Simovits Consulting, Wenner-Gren Center Sveavägen 166, 113 46 Stockholm Sweden – Telephone +46 - (0) 8 - 728 33 69 - Fax +46 - (0) 8 - 728 3352


• port 121 - JammerKillah • port 123 - Net Controller • port 146 - Infector • port 146 (UDP) - Infector • port 421 - TCP Wrappers • port 456 - Hackers Paradise • port 531 - Rasmin • port 555 - Ini-Killer, NeTAdministrator,

Phase Zero, Stealth Spy • port 605 - Secret Service • port 666 - Attack FTP, Back Construction,

Satanz Backdoor, • ServeU, • port 777 - Aim Spy • port 911 - Dark Shadow • port 999 - DeepThroat, WinSatan • port 1000 - Der Spacher 3 • port 1001 - Der Spacher 3, Silencer, WebEx • port 1010 - Doly Trojan • port 1011 - Doly Trojan • port 1012 - Doly Trojan • port 1015 - Doly Trojan • port 1020 - Vampire • port 1024 - NetSpy • port 1042 - Bla • port 1045 - Rasmin • port 1050 - MiniCommand • port 1080 - WinHole • port 1090 - Xtreme • port 1095 - RAT • port 1097 - RAT • port 1098 - RAT • port 1099 - RAT • port 1170 - Psyber Stream Server,

Streaming Audio trojan, Voice • port 1200 (UDP - NoBackO • port 1201 (UDP - NoBackO • port 1207 - SoftWAR • port 1234 - Ultors Trojan • port 1243 - BackDoor-G, SubSeven,

SubSeven Apocalypse • port 1245 - VooDoo Doll

• port 7789 - Back Door Setup, ICKiller • port 8080 - RingZero • port 8787 - Back Orifice 2000 • port 8897 - HackOffice • port 8989 - Rcon • port 9400 - InCommand • port 9872 - Portal of Doom • port 9873 - Portal of Doom • port 9874 - Portal of Doom • port 9875 - Portal of Doom • port 9876 - Cyber Attacker • port 9878 - TransScout • port 9989 - iNi-Killer • port 9999 - The Prayer • port 10067 (UDP) - Portal of Doom • port 10086 - Syphillis • port 10101 - BrainSpy • port 10167 (UDP) - Portal of Doom • port 10520 - Acid Shivers • port 10607 - Coma • port 10666 (UDP) - Ambush • port 11000 - Senna Spy • port 11050 - Host Control • port 11223 - Progenic trojan, Secret Agent • port 12076 - Gjamer • port 12223 - Hack´99 KeyLogger • port 12345 - GabanBus, NetBus, Pie Bill

Gates, X-bill • port 12346 - GabanBus, NetBus, X-bill • port 12349 – BioNet • port 12361 - Whack-a-mole • port 12362 - Whack-a-mole • port 12623 (UDP) - DUN Control • port 12631 - WhackJob • port 13000 - Senna Spy • port 16484 - Mosucker • port 16772 - ICQ Revenge • port 16969 - Priority • port 17300 - Kuang2 The Virus • port 17777 - Nephron • port 19864 - ICQ Revenge


• port 1269 - Mavericks Matrix • port 1313 - NETrojan • port 1349 (UDP) - BO DLL • port 1492 - FTP99CMP • port 1509 - Psyber Streaming Server • port 1600 - Shivka-Burka • port 1807 - SpySender • port 1969 - OpC BO • port 1981 - Shockrave • port 1999 - BackDoor, TransScout • port 2000 - Der Spaeher 3, Insane Network,

TransScout • port 2001 - Der Spaeher 3, TransScout,

Trojan Cow • port 2002 - TransScout • port 2003 - TransScout • port 2004 - TransScout • port 2005 - TransScout • port 2023 - Ripper • port 2115 - Bugs • port 2140 - Deep Throat, The Invasor • port 2155 - Illusion Mailer • port 2283 - HVL Rat5 • port 2300 - Xplorer • port 2565 - Striker • port 2583 - WinCrash • port 2600 - Digital RootBeer • port 2716 - The Prayer • port 2773 - SubSeven • port 2801 - Phineas Phucker • port 3024 - WinCrash • port 3128 - RingZero • port 3129 - Masters Paradise • port 3150 - Deep Throat, The Invasor • port 3456 - Terror Trojan • port 3459 - Eclipse 2000 • port 3700 - Portal of Doom • port 3791 - Eclypse • port 3801 (UDP) - Eclypse • port 4092 - WinCrash • port 4242 - Virtual Hacking Machine

• port 20001 - Millennium • port 20034 - NetBus 2 Pro • port 20203 - Chupacabra, Logged • port20331 - Bla • port 21544 - GirlFriend • port 22222 - Prosiak • port 23456 - Evil FTP, Ugly FTP, Whack

Job • port 23476 - Donald Dick • port 23477 - Donald Dick • port 26274 (UDP) - Delta Source • port27374 - SubSeven • port27573 - SubSeven • port 29891 (UDP) - The Unexplained • port 30029 - AOL Trojan • port 30100 - NetSphere • port 30101 - NetSphere • port 30102 - NetSphere • port 30303 - Sockets de Troie • port 30999 - Kuang2 • port 31336 - Bo Whack • port 31337 - Baron Night, BO client, BO2,

Bo Facil • port 31337 (UDP) - BackFire, Back Orifice,

DeepBO • port 31338 - NetSpy DK • port 31338 (UDP) - Back Orifice, DeepBO • port 31339 - NetSpy DK • port 31666 - BOWhack • port 31785 - Hacká´Tack • port 31787 - Hacká´Tack • port 31788 - Hacká´Tack • port 31789 (UDP) - Hacká´Tack • port 31791 (UDP) - Hacká´Tack • port 31792 - Hacká´Tack • port 32418 - Acid Battery • port 33333 - Prosiak • port 33911 - Spirit 2001a • port 34324 - BigGluck, TN • port 34555 (UDP) – Trinoo (Windows) • port 35555 (UDP) – Trinoo (Windows)


• port 4321 - BoBo • port 4567 - File Nail • port 4590 - ICQTrojan • port 5000 - Bubbel, Back Door Setup,

Sockets de Troie • port 5001 - Back Door Setup, Sockets de

Troie • port 5011 - One of the Last Trojans

(OOTLT) • port 5031 - NetMetropolitan • port 5031 - NetMetropolitan • port 5321 - Firehotcker • port 5400 - Blade Runner, Back

Construction • port 5401 - Blade Runner, Back

Construction • port 5402 - Blade Runner, Back

Construction • port 5550 - Xtcp • port 5512 - Illusion Mailer • port 5555 - ServeMe • port 5556 - BO Facil • port 5557 - BO Facil • port 5569 - Robo-Hack • port 5637 - PC Crasher • port 5638 - PC Crasher • port 5742 - WinCrash

• port 37651 - YAT • port 40412 - The Spy • port 40421 - Agent 40421, Masters Paradise • port 40422 - Masters Paradise • port 40423 - Masters Paradise • port 40426 - Masters Paradise • port 47262 (UDP) - Delta Sourceport 50505

- Sockets de Troie • port 50766 - Fore, Schwindler • port 52317 - Acid Battery 2000 • port 53001 - Remote Windows Shutdown • port 54283 - SubSeven • port 54320 - Back Orifice 2000 • port 54321 - School Bus • port 54321 (UDP) - Back Orifice 2000 • port 57341 - NetRaider • port 60000 - Deep Throat • port 61348 - Bunker-Hill • port 61466 - Telecommando • port 61603 - Bunker-Hill • port 63485 - Bunker-Hill • port 65000 - Devil • port 65432 - The Traitor • port 65432 (UDP) - The Traitor • port 65535 - RC

DMZ Os seguintes cuidados devem ser tomados com relação aos servidores instalados nas DMZs, com objetivo de reduzir o risco de dano em caso de quebra de segurança;

• Deve ser assumido que os servidores da DMZ Pública provavelmente serão atacados e portanto não deverão conter nenhum dado ou informação que não tenha relação com a função do servidor;

• Todos os serviços TCP não utilizados ou não necessários deverão ser desabilitados nos equipamentos;

• Cada aplicação deve ser instalada em um servidor dedicado a ela. Isso facilita a segregação de funções e auxilia a tarefa de configurar o servidor com o mínimo de privilégios possíveis;

• Os servidores apenas poderão se comunicar com servidores das outras DMZs caso exista necessidade da aplicação, e, neste caso, apenas com o servidor ou servidores específicos;

• Os servidores não poderão iniciar sessões com os servidores da rede interna. Dessa forma, toda a administração e transferências de dados deverão ser iniciados a partir da rede interna. Como exemplo, o servidor SMTP da DMZ Pública não poderá iniciar sessão com o servidor de


eMail corporativo, o servidor de eMail corporativo é que deverá iniciar sessão e trocar mensagens com o servidor SMTP. Mesmo os acesso da rede interna para a rede externa deverão ser controlados, dessa forma, se o servidor SMTP apenas se comunica com o servidor de eMail corporativo, apenas este deveria ter acesso ao servidor SMTP. Estas regras são implementadas no firewall;

• Antes de um servidor ser disponibilizado na DMZ ele deverá ser testado contra vulnerabilidades e ameaças.

Acesso Remoto Todo o acesso remoto, seja de funcionários ou empresas prestadoras de serviço, deverá estar conectado ao firewall e sob os mesmos controles das conexões Internet.

A Política de Segurança deve coibir o uso de modens nas estações de trabalho sem conhecimento da área de segurança. Uma vez que seja necessário o uso de modem a estação deverá ser controlada e monitorada de modo contínuo

Proteção contra ataques Denial of Service Todos os equipamentos deverão estar com todas as proteções recomendadas para impedir um ataque Denial of Service direto ao equipamento. De acordo com a versão de software operacional a ser utilizado, deve-se avaliar todas as possibilidades de ataques e meios de prevenção. Eventuais bugs existentes e ainda sem correção deverão ser monitorados.

Os ataques de DDOS são uma versão amplificada do ataque DoS. Eles são coordenados por um único atacante que possui o controle de uma rede de maquinas as quais são instruídas a efetuar floods TCP/SYN, UDP, Broadcast ou ICMP contra uma única vitima, causando a ocupação da banda de rede e conseqüentemente a parada do serviço.

A arquitetura do DDOS Os componentes básicos utilizados em um ataque DDOS são o Master e o Slave, um atacante controla um ou mais Masters que controlam vários Slaves que são os responsáveis pelos ataques que são lançados contra uma vítima, a figura abaixo demonstra uma arquitetura de um ataque DDOS.

Os passos para a construção de uma rede que seria utilizada em um ataque são:


• Detectar o maior número possível de maquinas com uma vulnerabilidade conhecida; • Explorar estas vulnerabilidades para se conseguir acesso; • Instalar os softwares slaves; • Utilizar as máquinas comprometidas em novas invasões e ataques. Como todos estes passos podem ser automatizados, os atacantes podem conseguir um número elevado de slaves em poucas horas de trabalho.

Soluções Possíveis Impedir ataques DDoS é extremamente difícil. As soluções mais viáveis estão em impedir que sua rede e seus computadores sejam utilizados como slaves e como amplificadores do ataque.

Detecção e remoção de software slave instalado nos computadores É possível detectar a presença dos software slaves utilizando-se de alguns passos manuais e de ferramentas de detecção de vulnerabilidades, anti-vírus e anti-trojan. Uma vez detectado, o software deve ser imediatamente removido. Nas tabelas de descrição das ferramentas estão listados alguns passos manuais para detectar e remover o software.

Impedir que a rede seja utilizada como origem de pacotes spoofed Através do uso da técnica conhecida como egress filtering é possível impedir que a rede seja utilizada como origem de ataques que utilizam pacotes com endereços spoofed, técnica utilizada em alguns ataques DDoS. O egress filtering consiste em configurar os roteadores de saída para a Internet para apenas permitir o envio de pacotes se estes tiverem endereços válidos da rede interna. Esta medida não irá, entretanto, impedir que sua rede seja utilizada para um ataque a partir de computadores comprometidos na rede interna, ou seja, utilizando endereços válidos internamente.

O egress filtering é implementado a partir de filtros (ACLs) em roteadores e no firewall. Trata-se de um regra simples, na qual os pacotes com endereços internos válidos podem sair para a Internet e os pacotes com endereços inválidos são bloqueados. Se a empresa estiver usando NAT, os endereços permitidos seriam os endereços fornecidos pelo ISP.

As instituições financeiras deveriam sugerir a seus ISPs que o mesmo procedimento fosse adotado internamente.

Impedir que a rede seja utilizada como amplificadora de broadcasts Os diversos dispositivos de rede e servidores em uso deveriam ser configurados para desabilitar o envio de broadcasts. Os administradores de rede devem consultar os manuais de seus roteadores e sistemas operacionais de servidores para verificar como desabilitar o envio de broadcasts.

Defesa contra ataques em curso A defesa contra ataques DDoS dependerá do tipo de ataque. Alguns ataques utilizam uma combinação de ataques DoS conhecidos e amplificados com vários pontos de origem. Estes ataques poderão ser defendidos com o uso de sistemas de Detecção de Intrusos, dependendo da sua dimensão.

Por outro lado, alguns ataques são baseados na sobrecarga da banda de rede da vítima, impedindo que usuários legítimos tenham acesso ao site. Neste caso o único método de defesa é a monitoração. Os administradores de rede devem conhecer o padrão de tráfego da rede. Quaisquer alterações súbitas podem significar um ataque DDoS. Se a instituição financeira não conhecer seu tráfego e não possuir recursos de monitoração, ela não poderá fazer quase nada contra um ataque em curso.


Com a monitoração do tráfego e de sistemas importantes durante um ataque, utilizando um sistema de detecção de intrusos ou sniffer pode-se confirmar o ataque, identificar os pontos de origem (podem ser endereços spoofed ou não) e decidir quais medidas tomar para reduzir o impacto do ataque. Uma medida já tomada em alguns ataques é a de bloquear o tráfego vindo das redes identificadas como origem do ataque. Esta medida irá também bloquear muitos usuários legítimos, mas irá garantir que uma parte dos usuários poderá acessar sem problemas.

Isso também pode ajudar a detectar sinais que indiquem que esse ataque é mais do que uma simples perturbação - por exemplo, descobrir que um ataque Denial of Service está servindo para desviar sua atenção de uma invasão real em sistemas críticos. Em particular, se outras organizações estiverem sofrendo algum ataque, verifique se você tem sistemas semelhantes que possam apresentar sinais de ataque.

Spoofing Ao limitar a capacidade de spoofing as instituições financeiras poderão não apenas se proteger desses ataques mas dificultar os ataques difíceis de rastrear. As técnicas aqui apresentadas visam reduzir a capacidade de spoofing dos invasores e deverão ser adotadas pelas instituições financeiras e empresas prestadoras de serviço de acesso Internet.

Há dois tipos de spoofing: o interno, na qual um computador toma o endereço de rede de outro computador dentro da mesma rede, e o externo, na qual o endereço falsificado pertence a outra rede de computadores.

Para limitar o spoofing externo, tanto as instituições financeiras como os provedores de acesso deveriam garantir que o tráfego que entra e sai da rede possui endereços compatíveis, ou seja, nenhum endereço externo deveria ter como origem um computador localizado dentro da rede e vice-versa.

A primeira técnica é conhecida como egress filtering e caracteriza-se pelo ato de garantir que todos os pacotes que deixam a organização contenham apenas endereços usados por ela. A maior parte dos roteadores possui essa capacidade através de configuração padrão. Os provedores de acesso também podem auxiliar nesta tarefa filtrando os pacotes de seus clientes.

Os provedores podem também implementar mais duas técnicas:

• ingress filtering ao aceitar apenas o tráfego originado de origens conhecidas, antes de roteá-lo para a Internet.

• impedir que usuários conectados por conexão discada possam utilizar endereços spoofed ou falsos.

Acesso SNMP É possível que, via SNMP, um intruso possa obter informações importantes da arquitetura de rede e até alterar configurações nos equipamentos. As principais recomendações para SNMP:

• O community name deve ser tratado como uma senha, com os cuidados de formato (senha forte) e troca periódica;

• Apenas estações de gerência poderão receber os traps do SNMP e interagir com o agente SNMP dos equipamentos.

Acesso a Roteadores e Switches via Console Local O acesso à console, terminal ou computador conectado diretamente ao equipamento deverá ser controlado para impedir um acesso não autorizado a partir da quebra de segurança física. O principal meio de controle do uso da console é a senha. A senha deverá ser ‘forte’ (de difícil adivinhação) e trocada no mínimo mensalmente.


Acesso via Telnet O acesso via Telnet é particularmente perigoso, dado que possibilita o acesso remoto aos equipamentos de conectividade e servidores. O Telnet para roteadores, firewall, detectores de intrusos e servidores da DMZ deve ser desabilitado para acesso externo e, no mínimo, controlado para acesso interno, sendo que apenas a estação de gerenciamento deveria ter direito de iniciar uma sessão. Caso os servidores corporativos não necessitem do Telnet, este também deveria ser desabilitado ou controlado para acesso apenas a partir da estação de gerência.

Em linhas gerais deve-se adotar os cuidados recomendados abaixo:

• Telnet - Uso de senha ‘forte’ para login, trocada mensalmente, no mínimo. Embora o uso de senha ‘forte’ não impeça que a mesma seja detectada por sniffer , a senha ‘forte’ dificultará a invasão por intrusos que não disponham do recurso de sniffer ou menos especializados.

• Restrição de acesso via Telnet (porta 23) para sessões originadas de pontos externos à instituição financeira.

• Restrição do uso de Telnet para gerenciamento remoto de roteadores, switches, firewalls e servidores críticos.

• Monitoramento de acesso por Telnet contra outros daemons. Detectores de Intruso para servidores são úteis para esta tarefa.

• Eliminação de vulnerabilidades no servidor e clientes Telnet em uso

Sincronização de Horário Será instalado um servidor de sincronização de horários, que tem por objetivo garantir que todos os elementos presentes na rede possuam a mesma data e horário, ou seja, estes valores devem estar sincronizados com um horário em comum de formar a permitir o co-relacionamento e auditoria dos logs dos vários elementos.

Concentrador de logs Em todos os elementos de conectividade (roteadores, switch, etc) serão habilitados recursos de auditoria e log, dentro dos limites de performance do elemento de conectividade. Estes dados serão enviados para um servidor dedicado localizado na rede de gerência. Desta forma garantimos a centralização de logs, proteção contra acessos não autorizados, além de permitir que os dados sejam criptografados preservando-se assim as evidências.

Senhas O arquivo de senhas dos servidores deve ser protegido contra acesso indevido e constantemente monitorado, para que qualquer acesso suspeito ao arquivo seja detectado o mais cedo possível.

A tabela abaixo mostra sugestões de senhas que deveriam ser evitadas e senhas que deveriam ser adotadas. Embora a informação contida nesta tabema possa soar como óbvia, senhas “fracas” ainda são o principal problema das empresas brasileiras, incluindo as intituições financeiras. Além da composição das senhas, a política de segurança deveria exigir a troca periódica das senhas no período máximo de 90 dias, idealmente 30 dias.

Senhas Corretas e Incorretas7 NÃO escolher as senhas abaixo:

7 Baseado no livro Practical UNIX Security – Simon Garfinkel e Gene Spafford, 2ª edição, O’Reilly & Associates,1995


#"Nome de pessoas, principalmente de parentes; #"Nome de sistemas operacionais, principalmenteo que estiver sendo usado; #"Nome do computador; #"Número de telefone; #"Número funcional; #"Número de identidade ou outros documentos; #"Datas de aniversário; #"Palavras do dicionário, principalmente inglês e português; #"Locais; #"Nomes próprios; #"Sequências de letras ou números; #"Senhas numéricas. ESCOLHER as senhas abaixo: #"Senhas que combinem letras em maiúsculo e minúsculo, quando o sistema as difere; #"Alfanuméricas que incluam caracteres especiais; #"Fáceis de lembrar, para que não seja necessário anotar; #"No mínimo de sete caracteres; #"Que possa ser digitado rapidamente, para que outra pessoa não possa identificá-la ohando

por sobre os ombros.


Recomendações para clientes e usuários Algumas recomendações para clientes e usuários de serviços via Internet:

• Manter atualizado o software antivírus; • Ao obter acesso a sites tomar cuidado com aplicações ActiveX e Java de origem desconhecida; • Nunca falar a senha para ninguém, mesmo que a pessoa se identifique como funcionário do

Banco; • Trocar a senha regularmente, quando possível; • Não obter acesso ao Internet Banking de equipamentos públicos localizados em aeroportos e

bares. Estes computadores podem ter instalado sistemas trojan horse para grampo de teclado; • Utilizar as recomendação de senhas do item anterior; • Os clientes de Bancos deveriam ser instruídos a não usar o sistema de banco por telefone a

partir de um telefone celular comum, principalmente de sistemas analógicos. As novas tecnologias, como WAP, incluirão funcionalidades de segurança que garantirão o uso do serviço e são consideradas seguras;

• Clientes deveriam ser instruídos a formatar disquetes antes de jogá-los fora e destruir extratos, cópias de documentos, etc. ante de jogá-los fora. Simplesmente rasgar um documento várias vezes já dificulta que alguém o utilize para obter acesso.


RESPOSTA A INCIDENTES Uma arquitetura segura reduz os riscos de ataques e minimiza os danos que podem ser causados. Entretanto, é impossível garantir que todos os ataques serão evitados.

Embora seja impossível eliminar todos os riscos provenientes de ataques, diversas medidas devem ser atendidas caso um site na Internet esteja sofrendo ataques. Adicionalmente, medidas preventivas são necessárias para reduzir o risco e o possível impacto causado por esses ataques. De acordo com BS7799, “responsabilidades e procedimentos de gerenciamento de incidentes deveriam ser implementados para assegurar uma resposta rápida, ordenada e efetiva aos incidentes de segurança”.

Gerenciamento de Incidentes e Resposta Um plano de respostas e gerenciamento de incidentes deve levar em conta os seguintes itens:

Preparação • Criação da Equipe de Resposta a Incidentes – Inclui a definição dos papéis e

responsabilidades da pessoas envolvidas com a resposta a incidentes. A equipe deveria ter representantes das seguintes áreas: Segurança (Informática, incluindo recuperação de desastres) , Internet Banking (ou outras áreas responsáveis por outros aplicativos disponíveis), Gerência de Rede, Jurídica, Recursos Humanos, Marketing ou Relações Públicas e Auditoria. A equipe deverá estar subordinada ao órgão gestor da segurança.

• Criação do Plano de Resposta a Incidentes – O Plano deve abordar todos as fases do processo de resposta, responsabilidades pessoais, relacionamento entre áreas, cronograma de resposta definindo o tempo máximo para cada atividade (ex. O tempo máximo para tentar responder ao ataque sem tirar a aplicação do ar), etc. A equipe deverá estar treinada em todos os assuntos relativos.

• Simulações – Atividades de simulação e testes de invasão devem ser realizadas periodicamente, como acontece em planos de recuperação de desastres.

Alertas • Definir fontes possíveis de alertas – A equipe deverá trabalhar com a previsão de alertas dos

sensores de segurança e de outras fontes como usuários, clientes, outros Bancos, instituições de pesquisa e provedores internet.

• Definir métodos para recebimento de alertas – O meio de recebimento de alertas deverá ser definido previamente para cada fonte. Isto garantirá que a equipe sempre receberá os alertas emitidos. Meios possíveis são: consoles de gerenciamento do sensor, console SNMP, pager, email, telefone, relatórios escritos, etc. Uma vez definidos, deve-se garantir que os meios estão em funcionamento através de verificações periódicas.

• Meios de comunicação – Os meios de comunicação entre os membros da equipe e processo de escalonamento deve também ser definido previamente.

Incidentes • Investigação preliminar – Alguns dos membros da equipe serão responsáveis pela investigação

preliminar. Trata-se da análise inicial de um alerta ou incidente para verificar-se se trata de uma invasão/ataque ou evento de menor importância. Eles também irão determinar se o ataque já ocorreu ou ainda está em curso. Neste caso a equipe deverá optar por uma linha de ação (descrita abaixo):


• Declaração de emergência – Uma vez que a investigação preliminar identifica um ataque em curso com alto risco ou uma invasão; o estado de emergência deve ser declarado. Os seguintes eventos devem se seguir à declaração da emergência: !"Definição do Responsável – Uma membro da equipe dever ser nomeada como reponsável

para coordenar as atividades de resposta àquele incidente. !"Definição da ação para ataque em curso – Caso o ataque ainda esteja em curso, ou seja, o

invasor ainda está no sistema – o responsável deverá decidir a atitude a ser tomada: disconectar imediatamente o invasor ou rastreá-lo. Naturalmente a segunda opção deve ser tomada com consciência dos riscos envolvidos. Algumas empresas montam armadilhas (conhecidos como honey pots) para entreter o invasor enquanto tentam rastreá-lo.

Resposta • Investigação detalhada – A investigação inicial deverá ser aprofundada para identificar com

detalhes a natureza do ataque. • Contenção – Os sistemas comprometidos deverão ser isolados ou desabilitados para evitar

que o ataque se espalhe. • Evidências - Evidências do ataque devem ser coletadas para posterior uso. Esta atividade deve

ser integrada com os departamentos de Recursos Humanos (para ações contra funcionários) ou Jurídico.

Recuperação • Erradicação – Quaisquer elementos remanescentes do incidente (exploits, trojan horses,

senhas conhecidas e outros) devem ser removidos do sistema. • Recuperação – Os sistemas deverão ser recuperados para operação normal, inclui reinstalação

de software, recuperação de backup e outros. • Eliminação de vulnerabilidades – As vulnerabilidades que causaram o ataque deverão ser

corrigidas.

Lições Aprendidas • Documentação – O incidente, causas e efeitos, deverão ser documentados, para posterior uso e

aprendizado. • Correção do plano – O Plano de Resposta deverá ser alterado ou corrigido, se for o caso. • Impactos financeiros – Os custos associados com o incidente deverão ser determinados para

uso no cálculo de orçamento de segurança ou outros propósitos. • Qualidade – Toda a documentação deve ser usada para melhoria da qualidade do processo de

segurança da instituição financeira.

Sinais de que a segurança do site foi comprometida O primeiro passo para identificar um ataque é SUSPEITAR. Quanto mais se suspeitar mais se detectará ataques. Qualquer atividade que não pareça normal pode ser um ataque.

Os meios de se procurar por sinais de ataques são:

1. Analisar detalhadamente e diariamente os logs gerados por aplicativos e dispositivos de conectividade e segurança. Algumas ferramentas auxiliam este processo como LogSurfer8 e

8 ftp://ftp.cert.dfn.de/pub/tools/audit/logsurfer


SWATCH9 . A análise de logs isoladamente não é fator determinante, pois alguns intrusos dominam técnicas de alterar logs buscando esconder sua atividade.

2. Procurar em sistemas Unix arquivos “setuid” e “setgid”, deixados por intrusos. Os comandos find e ncheck são úteis nesta tarefa.

3. Verificar se algum arquivo de programa foi alterado. Um arquivo alterado pode conter vírus ou trojan horses. Em bancos de dados o mesmo deve ser feito com store procedures ou packages.

4. Verificar se há um sniffer não autorizado em uso na rede. Sniffers podem ser remotamente implantados e usados para capturar senhas.

5. Procurar por quaisquer serviços ou programas não autorizados ou desconhecidos disponíveis nos hosts. Um serviço não autorizado pode ser ativado remotamente para uso posterior em um ataque.

6. Verificar todas as alterações de usuários (inclusão, troca de senhas ou perfil de acesso e exclusão). Há ataques em que o intruso cria um usuário e antes de deixar o site exclui o usuário. O log de exclusão pode ser mantido nos logs de atividade. Alterações nos arquivos de senhas (/etc/passwd no Unix e o SAM do Windows NT) também podem ser indícios.

7. Procurar por alterações nas configurações de hosts. Sistemas que verificam automaticamente estas mudanças, como osão úteis.

8. Programas e diretórios escondidos podem ser repositórios de ferramentas em uso por invasores.

9. Analisar todos os eventos gerados por sistemas de detecção de intrusos.

Investigação Investigar um crime virtual, ou digital, é uma tarefa extremamente complexa, que envolve quantidade razoável de recursos, pode ser demorada e, muitas vezes, infrutífera. A tarefa normalmente cabe à Equipe de Resposta a Incidentes. É importante garantir que a atividade de investigação não irá prejudicar a atividade de resposta aos incidentes. Outra obstáculo é a falta de leis e instrumentos legais contra crimes eletrônicos.

Caso a instituição opte por manter o invasor em uma armadilha, há chances de rastrear a origem do ataque, embora quanto mais experiente for o invasor mais difícil será essa tarefa. A investigação de um evento já ocorrido baseia-se na procura e análise de evidências, com em qualquer outra investigação. São as evidências que permitirão que o invasor possa ser identificado, processado e penalizado. Muitas evidências dependerão de outras organizações. As instituições financeiras deveriam procurar as empresas prestadoras de serviço de backbone Internet e ISPs para obter delas colaboração em processos futuros de investigação.

A investigação tem inicio com a coleta de todos os dados e informações relacionados aos eventos, como logs de servidores e sensores, arquivos alterados e qualquer registro que possa ser utilizado. É importante salientar que muitas vezes um ataque, apesar de ter vindo da Internet, possa ter tido sua origem na rede interna, como por exemplo, com a instalação de um backdoor em um servidor.

As diversas listas de discussão existentes sobre segurança na rede é também fonte de informação. Nessas discussões é possível obter algumas pistas sobre os invasores. Uma possibilidade a considerar, porém não tão simples, é usar pessoas “infiltradas” em comunidades de hackers, participando de chats.

9 ftp://coast.cs.purdue.edu/pub/tools/unix/swatch


Outro ponto é que uma investigação independente conduzida pela instituição financeira poderá chegar apenas aos suspeitos do crime. As evidências de que o suspeito cometeu o crime seriam encontradas apenas vistoriando o local aonde o suspeito teria cometido o crime. Esse tipo de investigação tem que ser feito pela polícia.

Abaixo segue algumas recomendações para a instuição financeira tenha informações necessárias para iniciar ou colaborar com uma investigação:

• Os logs devem ser centralizados em um computador seguro e um histórico deverá ser mantido por tempo razoável. Alguns Bancos nos Eatados Unidos optam por gravar os logs em CD-ROM, mantendo arquivos históricos.

• Não se deve restaurar backups ou sistemas antes que todos os registros do ataque, como arquivos alterados, criados ou lidos pelo invasor, sejam copiados e guardados.


ANEXOS


BRITISH STANDARD 7799

British Standard O British Standard – BS-7799 (http://www.c-cure.org/bsframes.htm) é um padrão independente e reconhecido internacionalmente como referência para práticas de segurança. Publicado pela primeira vez em 1995 pelo BSI/DISC Committee BDD/210, foi atualizado em 1999. Seu objetivo é fornecer um conjunto completo de controles e práticas para a segurança das informações, devendo ser utilizado como referência na identificação dos controles necessários para situações onde sistemas de informação são utilizados, independentemente da área de atuação de uma empresa. A revisão de 1999 inclui as tecnologias recentes de redes e telecomunicações.

O BS-7799 é publicado em duas partes:

• Parte I: Código de Práticas para Gerência de Segurança das Informações • Parte II: Especificações para Sistemas de Gerência de Segurança das Informações

As entidades representadas no BSI/DISC Committee BDD/2, para elaboração do BS 7799:

• Association of British Insurers • British Computer Society • British Telecommunications plc • The Business Continuity Institute • Department of Trade and Industry (Information Security Policy Group) • Det Norske Veritas Quality Assurance • HMG Protective Security Authority • HSBC • Indicii Salus • Institute of Chartered Accountants in England and Wales • Institute of Internal Auditors • KPMG plc • L3 Network Security • Lloyds TSB • Logica UK • Marks and Spencer plc • NationWide Building Society • PCSL • Racal Network Services • RPK Associates • Shell International Petroleul Co Ltd • Unilever plc • Whitbread plc • XiSEC Consultants Ltd/AEXIS Consultants

10 Comitê formado por órgãos governamentais britânicos e diversas empresas privadas.

http://www.c-cure.org/bsframes.htm


GLOSSÁRIO DE TERMOS Apresentamos alguns termos que serão empregados neste documento:

Access Control Lists (ACL)

Lista de permissões de acesso configuradas em dispositivos de rede, principalmente roteadores e firewall.

Ameaça A tentativa de atacar um sistema explorando suas vulnerabilidades.

Qualquer elemento humano ou da natureza que pode causar dano à confidencialidade, integridade e disponibilidade dos sistemas.

As ameaças podem ser intencionais ou não intencionais, internas ou externas.

Ataques CGI Ataque que explora vulnerabilidades do Common Gateway Interface.

Backdoor Programa implantado secretamente em um computador com objetivo de obter informações e dados armazenados, interferir com a operação ou obter controle total do sistema.

BSI British Standard Institute. Órgão britânico responsável pela publicação de normas, dentre as quais normas de segurança para informática BS 7799.

CERT Computer Emergency Response Team. Órgão destinado a investigar os ataques na Internet e melhorar a segurança na Internet.

CERT Mundial: http://www.cert.org

Brasil: http://www.nic.br

Detector de Intrusos Sistema inteligente de análise e detecção automática de ataques ou eventos suspeitos na rede ou servidores.

DIG Domain Information Gopher. Ferramenta utilizada para buscar informações em servidores DNS.

DMZ (de-militarized zone)

Termo que designa a rede localizada entre a rede interna e a Internet. Na DMZ normalmente estão localizados os servidores de acesso público.

DNS Domain Name Service. Serviço de replicação que interpreta os números pelos quais os servidores conectados à Internet são identificados e os apresenta ao usuário como um nome textual. Por exemplo, 10.10.10.10 como www.nome.com.br.

DoS; DDoS Denial of Service e Distributed Denial of Service. Ataques cujo objetivo é a retirada de serviço de um site, servidor ou outro dispositivo conectado à Internet. O termo Distributed refere-se a um aperfeiçoamento da técnica do ataque, na qual a origem do ataque é distribuída por até milhares de computadores.

Engenharia Social Termo que designa a prática de obtenção de informações por intermédio da exploração de relações humanas de confiança, ou outros métodos que enganem usuários e administradores de sistemas.

http://www.cert.org/

http://www.nic.br/


FAPESP Fundação de Amparo à Pesquisa do Estado de São Paulo. Responsável

pelo registro de domínios da Internet no Brasil.

Firewall Um software ou conjunto de software destinados a restrição do acesso e proteção de uma rede ou conjunto de computadores.

Filtro de Pacotes Funcionalidade presente na maior parte dos roteadores e também nos sistemas de firewall que permite que pacotes não desejados sejam bloqueados e impedidos de chegar ao seu destino.

Algumas das medidas de prevenção são implementadas por filtros de pacote.

FTP File Transfer Protocol. Protocolo utilizado para transferência de arquivos entre diferentes computadores na Internet.

Hackers, Crackers Embora a palavra hacker designe um especialista em computação com alto nível de conhecimento; a palavra é normalmente associada aos terroristas, criminosos e predadores da Internet. A palavra mais correta para essas pessoas seria cracker.

Honey Pot Sistemas de Honey Pot são simuladores de servidores que se destinam a enganar um invasor, deixando-o pensar que está invadindo a empresa enquanto a equipe de segurança ganha tempo para rastrear o ataque e defender-se.

NAT (Network Address Translation)

Port Scan Prática de varredura de um servidor ou dispositivo de rede para se obter todos os serviços TCP e UDP habilitados.

Proxy Server Sistema que atua como intermediário entre as duas pontas de uma conexão, evitando a comunicação direta entre elas. Os sistemas de Proxy são normalmente utilizados entre a rede interna e a Internet. Dessa forma tanto os computadores internos como os localizados na Internet tem acesso apenas ao Proxy Server.

RFC Requests For Comments. Padrões para uso em redes TCP/IP.

Risco Indica o grau de exposição que uma organização ou sistema apresenta para a perda de confidencialidade, integridade e disponibilidade.

É calculado a partir da relação entre vulnerabilidade, ameaça e valor do ativo.

SMTP Simple Mail Transfer Protocol. Protocolo TCP/IP utilizado no envio de mensagens de correio eletrônico.

Sniffer Sistema que captura os dados trafegados em rede para uso de administradores de sistema (com objetivo de conhecer o tráfego de sua rede e identificar problemas de segurança ou desempenho) bem como de intrusos (com objetivo de capturar senhas e outras informações sigilosas).


Spoofing Prática de falsificação de qualquer endereço ou identificação de rede .

TCP Transmission Control Protocol. É a linguagem básica de comunicação utilizada na Internet e pode ser também utilizada em redes privadas.

Transferência de Zona

Prática legal de transferência de dados entre sistemas DNS. Um invasor pode tentar realizar a transferência para obter todo o cadastro DNS e assim conhecer toda a configuração da vítima.

Trilha de Auditoria Conjunto de logs e outros registros armazenados, úteis no processo de auditoria de acesso a sistemas e investigação de incidentes.

Trojan Horse Programa ou código residente dentro de outro programa e sem conhecimento do usuário, com objetivo de ganhar acesso não autorizado a sistemas e informações.

UDP User Datagram Protocol. Método de comunicação que pode ser utilizado como alternativa ao TCP. Quando utilizado junto ao IP é conhecido como UDP/IP, mas algumas limitações técnicas tornam seu uso restrito a redes nas quais trafegam pacotes de pequeno tamanho.

URL Uniform Resource Locator. Método padrão utilizado para localizar um endereço na Internet, comumente uma web page.

Valor do Ativo A importância mensurável ($$) ou estimada (alta, média, baixa) de um ativo físico (computador, sistema, etc) ou não físico (informação) para uma instituição.

Vulnerabilidade Uma fraqueza ou falha de segurança em um sistema de software ou hardware que pode ser explorada para permitir a efetivação de um ataque.

As vulnerabilidades podem ser causadas, entre outros, por:

#"bugs de software; #"erros de configuração; #"falhas humanas de operação; #"desconhecimento ou mau uso; #"software não atualizado.


REFERÊNCIAS PARA CONSULTA Os sites listados abaixo são úteis para as instituições financeiras se manterem atualizadas quanto a vulnerabilidades e outras questões relativas à segurança.

Alguns sites como SANS, XForce e Security Portal mantêm serviços gratuitos de alertas de segurança e vulnerabilidades.

Internet Security Systems http://www.iss.net

X-Force http://xforce.iss.net

CERT Coordination Center http://www.cert.org

NIC BR http://www.nic.br

SANS Institute http://www.sans.org

NTBugtrack http://www.ntbugtrack.com

Verdade Absoluta http://www.absoluta.org

Security Portal http://www.securityportal.com

Security Focus http://www.securityfocus.com

Security Watch http://www.securitywatch.com

Attrition http://www.attrition.org

Infowar http://www.infowar.com

Forum of Incident Response and Security Teams (FIRSR)

http://www.first.org

RFC http://www.ietf.org/rfc

Recomendações da American Banks Association

OCC Bulletin 98-3, February 4, 1998 "Technology Risk Management,"

http://www.occ.treas.gov/ftp/bulletin/98-3.txt

OCC Bulletin 98-38, August 24, 1998 "Technology Risk Management: PC Banking,"


18 U. S. C. 1030, Fraud and Related Activity in Connection with Computers

http://www.usdoj.gov/criminal/cybercrime/1030_new.html

http://www.iss.net/

http://xforce.iss.net/


http://www.nic.br/

http://www.sans.org/

http://www.ntbugtrack.com/

http://absoluta.org/

http://www.securityportal.com/

http://www.securityfocus.com/

http://www/

http://www.attritiom.org/

http://www.infowar.com/

http://www.first.org/

http://www.ietf.org/rfc






OUTROS RECURSOS

Links de fornecedores para atualização de patches Os links são de responsabilidade dos fabricantes e podem mudar sem aviso prévio

BSDI ftp://ftp.bsdi.com/bsdi/patches

Caldera OpenLinux ftp://ftp.caldera.com/pub

Deban Linux http://www.debian.org/security/

DEC http://www.service.digital.com/patches/index.html

FreeBSD ftp://ftp.FreeBSD.org/pub/FreeBSD/

HP http://us-support.external.hp.com/

IBM http://service.software.ibm.com/support/rs6000

Microsoft http://www.microsoft.com/security/default.asp

OpenBSD http://www.openbsd.org/errata.html

RedHat Linux http://www.redhat.com/

SCO ftp://ftp.sco.com/SSE/

SGI ftp://sgigate.sgi.com/patches/

Sun http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/patch-access/

Links para download de ferramentas públicas de segurança Os links são de responsabilidade dos órgãos que o publicam e podem mudar sem aviso prévio

ftp://ciac.llnl.gov/pub/ciac/sectools/unix/

ftp://coast.cs.purdue.edu/pub/tools/

ftp://ftp.cert.org/pub/tools/

ftp://ftp.win.tue.nl/pub/security/

ftp://ftp.funet.fi/pub/unix/security/

ftp://ftp.bsdi.com/bsdi/patches/

ftp://ftp.caldera.com/pub/

http://www.debian.org/security/

http://www.service.digital.com/patches/index.html

ftp://ftp.freebsd.org/pub/FreeBSD/

http://us-support.external.hp.com/

http://service.software.ibm.com/support/rs6000

http://www.microsoft.com/security/default.asp

http://www.openbsd.org/errata.html

http://www.redhat.com/

ftp://ftp.sco.com/SSE/

ftp://sgigate.sgi.com/patches/

http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/patch-access/

http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/patch-access/

ftp://ciac.llnl.gov/pub/ciac/sectools/unix/

ftp://coast.cs.purdue.edu/pub/tools/

ftp://ftp.cert.org/pub/tools/

ftp://ftp.win.tue.nl/pub/security/

ftp://ftp.funet.fi/pub/unix/security/


BIBLIOGRAFIA • Internet Security Systems Technology Base – Internet Security Systems • Artigo “Security Architecture and Incident Management for e-business” – Marc A. Sokol e

David A. Curry – 2000 - Internet Security Systems • Artigo “Help Defeat Denial of Services Attacks: Step by Step” – SANS Institute • Artigo “Consensus Roadmap for Defeating Distributed Denial of Service Attacks” –

CERT/CC, SANS Institute e CERIAS (The Center for Education & Research in Information Assurance & Security)

• Artigo “A Short Overview of IP Spoofing” – Brecht Claerhout • X-Force – http://xforce.iss.net • CERT Coordination Center – http://www.cert.org • SANS – http://www.sans.org • British Standard BS7799 – 1999 – BSi – http://www.bsi.org • SAVANT Security Guide – Internet Security Systems – http://www.iss.net • “Computer Security Basics”, Deborah Russel and G.T. Gangemi Sr. – O’Reilly & Associates, • “Maximum Security”, Anonymous - SAMS • “Building Internet Firewalls”- D. Brent Chapman e Elizabeth D. Zwicky – O’Reilly &

Associates • “Computer Crime, a crimefighter’s Handbook - David Icove, Karl Seger e William VonStorch -

O’Reilly & Associates • “Guide to BS 7799 Risk Assessment and Risk Management” – E. J. Humpheys, R.H. Moses,

A.E. Plate – BSi Publications

http://xforce.iss.net/


http://www.sans.org/

http://www.bsi.org/

http://www.iss.net/


INTERNET SECURITY SYSTEMS A Internet Security Systems (http://www.iss.net) é a líder mundial no fornecimento de soluções para o gerenciamento da segurança em redes corporativas e e-business. A ISS representa uma consultoria independente e confiável para os seus clientes, oferecendo uma solução completa que inclui a família de produtos SAFEsuite, serviços de monitoração e gerenciamento ePatrol, serviços de integração de soluções e consultoria em segurança, protegendo os ativos digitais e assegurando a disponibilidade, confidencialidade e integridade dos sistemas e informações críticas para o sucesso de seus clientes.

As soluções de gerenciamento de segurança da ISS protegem mais de 5000 clientes, incluindo 21 dos 25 maiores bancos americanos, 9 das 10 maiores empresas mundiais de telecomunicações e mais de 35 órgãos governamentais.

Fundada em 1994, a ISS possui sua sede em Atlanta, Estados Unidos, com escritórios na Ásia, Austrália, Europa e América Latina.

Histórico Em 1992, Christopher Klauss, fundador da ISS, criou uma tecnologia baseada na necessidade de identificar dinamicamente os pontos fracos e proteger as redes contra ameaças à segurança. O resultado final foi o ISS Internet Scanner, o primeiro software para varredura de segurança da indústria, projetado para auxiliar as organizações a identificar e solucionar os problemas com facilidade. O Internet Scanner testa a rede utilizando centenas de testes de vulnerabilidade, identifica os pontos fracos com precisão e fornece instruções detalhadas, passo-a-passo, assim como uma análise detalhada e profunda para eliminar as falhas na segurança.

Klaus fundou a Internet Security Systems (ISS) em 1994. Logo depois, Klaus juntou-se a um veterano na área de software empresarial, Thomas E. Noonan, Presidente e CEO da ISS e a uma equipe de experientes profissionais de gerenciamento e engenheiros de software. Atualmente, a ISS oferece um pacote completo de soluções para a proteção de informações empresariais, sendo uma das empresas de software com crescimento mais rápido em todo o mundo. Através de sua tecnologia inovadora, a ISS continua sendo pioneira e líder no setor de riscos à segurança e identificação de invasões, com a premiada família de soluções para a segurança de redes - os produtos SAFEsuite.

http://www.iss.net/

guia febraban

Documents