segurança da informação com windows server

Segurança da Informaçãoem Windows Server 2008

Guilherme Lima MCITP Enterprise Administrator / MCITP Server Administrator 5x MCTS / MCSA / MCDST / MCP / TCF / Auditor ISO 20000

Agenda

33

Segurança da informação – noções fundamentais

Gestão de segurança da informação

Os riscos, as ameaças e vulnerabilidades em TI

Estabelecendo controle e contramedidas de segurança

Perícia forense

120

120

120

120

90

Segurança da informação – noções básicas

44

Segurança da informação é uma disciplina relativamente nova no contexto de tecnologia da informação. É uma palavra de amplo espectro quando abordamos questões pertinentes aos requisitos necessários para proteger os ativos e acervos computacionais das corporações. A proteção da informação é seu ponto de foco. Neste contexto, Informação pode e deve ser tratada como qualquer outro ativo que sustenta um negócio.

A Segurança da informação protege a informação contra diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócios.


55

A segurança das informações deve caracterizar-se por preservar:

- Confidencialidade: Para que a informação seja acessível somente por pessoas autorizadas, garantindo a privacidade de seu possuidor e o sigilo da informação.

- Integridade: Para manter salvaguarda da exatidão e inteireza da informação e dos métodos de processamento.

- Disponibilidade: Para garantir que informações e serviços computacionais vitais estejam disponíveis sempre que requeridos.

- Irretratabilidade: Para garantir que as informações sejam autenticas e que não possam ser repudiadas quanto à sua legalidade


66

A segurança da informação é obtida a partir da implantação uma série de tecnologias e de controles, que se traduzem em um processo estruturado de Gestão. As tecnologias são necessárias para prover infraestrutura segura e ferramentas sobre a qual as aplicações serão utilizadas e ainda para defender a rede contra ataques.

Os controles provem forma de monitorar o ambiente de TI para validar o funcionamento da infraestrutura de segurança e mensurar seus resultados. Estes controles podem ser políticas, práticas, procedimentos ou funções de software e/ou hardware.

Ambos e em ações coordenadas e abrangentes provem processos de segurança que devem estar alicerçados em estruturas organizacionais responsáveis pelo seu acompanhamento e/ou implementação e precisam ser estabelecidos para garantir que as estratégias de segurança específicas da organização sejam atendidas.


77

Independentemente do meio ou forma pela qual a informação é Manuseada, armazenada, transmitida, e descartada, é recomendável que ela passe por processos de proteção e controles adequados a cada meio e/ou forma de tratamento.

Agenda

88





Perícia forense

120

120

120

120

90


99

Uma estrutura adequada para planejamento, coordenação, execução e manutenção de atividades relacionadas à segurança da informação é fator determinante para garantir a sua eficiência.

Dependendo do porte da empresa, das vulnerabilidades existentes e do risco e impactos destas ao negócio, a Gestão de segurança das informações pode ser formada por um ou mais profissionais, com atribuições estratégicas, táticas e/ou operacionais.

Normalmente a estruturação de uma área de segurança inicia-se pela definição de um profissional interno ou a contratação de uma consultoria especializada para a realização do trabalho de planejamento inicial.

O planejamento inicial das ações envolve o estabelecimento de Diretrizes de Segurança da Informação definidas pela alta direção da empresa. Estas diretrizes são fundamentais para que a organização atue seguindo o mesmo direcionamento. Deve ser abrangente e transmitir à todos os funcionários e colaboradores qual é a visão da organização relacionada à segurança da informação.


1010

Alguns pontos chave são: Declaração do grupo executivo, marcando apoio às Diretrizes; deveria conter:

- Definição dos conceitos de segurança, com enfoque na distinção entre dono, custodiador e usuário da informação;

- Definição das responsabilidades gerais de segurança, resultado da tarefa inicial de planejamento da estrutura.

Estas diretrizes dão credibilidade e força às ações seguintes de planejamento de segurança.


1111

Fórum de Segurança da Informação

Esta estrutura é formada por integrantes do grupo executivo juntamente com o CSO. Atua na análise estratégica e no planejamento das principais atividades relacionadas à segurança da informação, no desenvolvimento e avaliação das Diretrizes de Segurança da Informação e na definição do Plano de Metas, visando estabelecer objetivos estratégicos relacionados à segurança. Este plano contempla todo o ambiente organizacional, novas estruturas, novos processos e serviços que virão a fazer parte da realidade da empresa. Devem ser realizadas análises críticas e monitoração de incidentes de segurança da informação, munindo os executivos de informações, essenciais ao aceite das principais iniciativas para aumentar o nível da segurança corporativo.


1212

Chief Security Officer (CSO) O nome exato talvez seja de menor importâncias, alguns chamam de Security Officer, outros de Information Security Officer. Funcionalmente é o administrador de Segurança da Informação: profissional responsável por coordenar, planejar e organizar todas as atividades relacionadas à segurança da informação corporativa. O CSO é o elo entre o Fórum de Segurança da Informação e a Coordenação da Segurança da Informação, compreendendo as particularidades de cada departamento, seja através do planejamento de atividades de implementação de controles de segurança junto à Coordenação, ou na apresentação dos resultados à alta administração.


1313

Coordenação da Segurança da Informação Estrutura constituída por profissionais subordinados ao CSO e pelos disseminadores da cultura de segurança dentro dos diversos setores da organização. Entre as atividades da Coordenação da Segurança podemos destacar: - Análise de incidentes de segurança; - A avaliação e coordenação de implementações de controles; - Elaboração do Plano de Ação - um planejamento tático e operacional para implementação de controles de segurança.

Tão importante quanto a estrutura geral – Fórum, Coordenação e CSO -, é a relação entre suas diferentes partes, fazendo com que interajam com os diversos ambientes organizacionais, contemplando tecnologias, processos, perímetros e, principalmente, as pessoas que fazem a “máquina” funcionar. Os benefícios que a Estrutura de Segurança da Informação agrega à organização são claros. A consolidação desta estrutura orienta o direcionamento de investimentos e esforços em segurança da informação em um mesmo sentido, não somente constituindo um novo setor dentro da organização, mas transformando seus diferentes setores em mecanismos simbióticos, formando uma estrutura eficiente, flexível às particularidades corporativa e acima de tudo, econômica.

Agenda

1414





Perícia forense

120

120

120

120

90

Os riscos, ameaças e vulnerabilidades em TI

1515

Considerações sobre os riscos de segurança em TI Em sentido amplo, risco é qualquer evento que possa causar impacto na capacidade de empresas atingirem seus objetivos de negócio. O risco pode ser classificado e tratado como uma oportunidade, uma incerteza ou uma ameaça.

Tratando especificamente de ambientes de rede e tecnologias de Informação, o risco se apresenta na dimensão de uma ameaça.

Os riscos que cercam os ambientes de tecnologia corporativos são da mais abrangente ordem, diretamente proporcionais à quantidade e variedade de tecnologias que se misturam nos ambientes de TI modernos.

Os riscos são proporcionais à probabilidade de uma determinada ameaça explorar vulnerabilidades, causando impacto nos negócios.


1616

RISCO = (Ameaça) x (Vulnerabilidade) x (Valor do Ativo ou custo do evento) Vulnerabilidades podem ser relativas às tecnologias, processos ou pessoas. Qualquer evento de segurança é o resultado de determinadas ameaças que exploram vulnerabilidades tecnológicas, de processo ou pessoas. Em TI, Hackers são a principal ameaça. São os exploradores das vulnerabilidades das tecnologias, processos ou pessoas.

Terminologia


1717

Categorias de ameaças


1818

Agentes de ameaça


1919

Conhecendo os potenciais atacantes Os riscos para negócios são muitos, incluindo-se os mais diversos tais como operacionais, de catástrofes, sistêmicos, legais e empresariais. Dependendo do ramo de negócio, cada um deles é ou não considerado e em maior ou menor grau. No contexto de tecnologia, basicamente abordamos os riscos tecnológicos que se configuram em eventos de segurança que são a exploração de vulnerabilidades tecnológicas. Posto que os negócios na era digital estejam fortemente alicerçados em tecnologia, temos neste contexto a figura ameaçadora dos hackers, os exploradores destas vulnerabilidades. Genericamente identificamos Hackers como aqueles que realizam ataques a um sistema computacional com os mais diversos objetivos, sejam eles de obter acesso às informações confidenciais, de causar perdas às organizações através de alterações na disponibilidade do ambiente ou por fraudes seja de causar perdas devidas à falta de integridade de dados internos. Eles utilizam seus conhecimentos para invadir sistemas com o intuito de causar um dano qualquer. Há algum tempo, o conceito de Hackers estava associado com pessoas que eram motivadas por desafios às suas habilidades para a realização dos ataques. Não tinham a intenção de causar danos e sim de provar seus conhecimentos. Hoje esta definição está generalizada e qualquer incidente de segurança está associada a Hackers.


2020

Seus tipos e suas motivações Diversos tipos de estudos tentaram classificar o perfil dos Hackers e identificar a real motivação que os leva a cometer atitudes tão prejudiciais às organizações. Um psicólogo canadense chamado Marc Rogers divulgou o resultado de uma pesquisa que identifica o Hackers como “Um indivíduo obsessivo, de classe média, de cor branca, do sexo masculino, entre 12 e 28 anos, com pouca habilidade social e história de abuso físico e/ou social”.

São os seguintes os tipos mais comuns de hackers, que estão aqui apresentadas em caráter meramente ilustrativo.


2121

Script Kiddies Também conhecidos como “Newbies”, estes tipos são a grande maioria Hackers. Eles normalmente possuem pouca experiência e conseguem programas de ataques prontos para serem usados diretamente obtidos na Internet. Exploram vulnerabilidades básicas como a configuração equivocada de serviços e sistemas operacionais e servidores sem os Patchs de segurança recomendados. Na maioria das vezes não sabem a extensão dos danos que estão causando.

CyberPunks São os Hackers dos velhos tempos. Invadem sistemas motivados por puro divertimento e desafio. Tem grande conhecimento de protocolos e atuam contra os Governos, principalmente o Norte Americano. São os mais paranóicos e costumam acreditar em teorias da conspiração. Atuam muito em pesquisas e descobrem várias vulnerabilidades prestando assim enormes serviços à indústria.


2222

Insiders Os “Insiders” são os Hackers internos das organizações. São os responsáveis pelos incidentes de segurança mais graves nas empresas. Estatísticas mostram que grande parte dos ataques parte das próprias redes internas, mas os números são contraditórios. Os motivos são geralmente insatisfação com o trabalho, com o chefe ou com a estratégia da empresa em algum campo. Podem estar associados à subornos externos e espionagem industrial.

Coders São os Hackers que resolvem em certo momento compartilhar suas informações e conhecimentos publicando livros e proferindo palestras. São normalmente motivados por questões financeiras.

White Hat São conhecidos como os Hackers do bem ou Hackers éticos. Eles utilizam seus conhecimentos prestando serviços profissionais na proteção das redes e Sites de várias organizações. São responsáveis pelos testes de invasão, nos quais apresentam relatórios que medem o nível de segurança das organizações.


2323

Black Hat Eles são os tradicionais e antigos Crackers. Usam seus conhecimentos para invadir sistemas e roubar informações confidenciais das organizações. Geralmente tentar vender as informações roubadas para a própria vítima. Usam esta chantagem para conseguir vantagens financeiras. Casos notórios de ação deste grupo é o evento de invasão do Site CD Universe em 2000 no qual foi obtida a base de dados de cartões de crédito dos clientes do Site e seguida divulgada na Internet porque os donos do Site se recusaram a pagar pela sua devolução.

Grey Hat São os Hackers que se fazem passar por White Hat´s para trabalharem na área de segurança. Divulgam seus trabalhos como consultores de segurança mas não detêm o conhecimento daqueles. Diferentemente dos White Hat´s, tem a cultura de Hacker muito forte tornando um risco sua contratação. Cabe salientar que não só Hackers causam problemas de segurança. Usuários, sejam eles autorizados ou não, causam grandes problemas. Normalmente com ações baseadas em imperícia ou imprudência.


2424

O “modus operandi” e os tipos de Ataques mais Frequentes

O primeiro passo para a realização de um ataque é a obtenção de informações sobre os sistemas ou redes a serem atacadas. Isto é feito na maioria das vezes sem que o intruso seja notado ou descoberto. Isto pode ser feito por meio de diversas técnicas com a utilização de diversas ferramentas que na maioria das vezes são de domínio público na Internet. As técnicas e métodos de ataques são: - Monitoração da rede a ser atacada - Penetração na rede ou no sistema a ser atacado - Inserção de códigos maliciosos ou informações falsas nos sistemas - Envio de um grande número de pacotes de informações inúteis aos sistemas para provocar negação de serviços.

Estes ataques trazem invariavelmente uma ou mais das seguintes consequências: - Monitoramento não autorizado - Descoberta e vazamentos de informações confidenciais - Modificação não autorizada de serviços e das bases de dados da organização - Negação ou corrupção de serviços - Fraudes ou perdas financeiras - Impacto na imagem, perda de confiança, de credibilidade e de reputação. - Perdas secundárias com esforços de recuperação dos ambientes afetados


2525

Após os ataques, um grande problema é que os intrusos apagam os rastros de sua presença em território alheio. Normalmente, eles apagam ou modificam arquivos de LOG´s e outros arquivos importantes dos sistemas para mascarar suas ações. Neste contexto, os sistemas de proteção de redes a serem estudados em capítulo específico e a computação forense são ferramentas fundamentais para auxílio na investigação sobre os ataques e na identificação do invasor.


2626

O perigo do desconhecimento dos riscos Um dos maiores riscos que se apresentam é do desconhecimento do próprio risco, ou de achar que já estamos totalmente protegidos com o que dispomos em termos de segurança. Isto leva as considerações de premissas falsas quando abordamos segurança. Eis algumas delas: - “Para que iremos nos preocupar com segurança se usamos os melhores sistemas de mercado”. - “Nossos fornecedores irão nos avisar caso alguma vulnerabilidade seja encontrada”. - “Vamos colocar para funcionar depois resolvemos os problemas de segurança” - “Nosso parceiro é confiável, podemos liberar o acesso para eles”. - “A empresa de TI com a qual fizemos o “Outsourcing” irá cuidar da segurança”.

Outro aspecto é adotarmos a abordagem da segurança pela obscuridade. Isto significa esconder os problemas de segurança e utilizar ferramentas de segurança frágeis por desconsiderar os riscos. Seguem exemplos - “Ninguém vai descobrir esta brecha em nossa segurança” - “Esta situação nunca ocorrerá conosco”. - “Esta vulnerabilidade é improvável de ser explorada”


2727


2828

Porque os sistemas computacionais estão expostos a riscos Os sistemas de informação da atualidade estão expostos devido a um ou mais dos seguintes fatores:

- Exploração de vulnerabilidades em sistemas operacionais, aplicativos, protocolos e serviços;

- Exploração dos aspectos humanos e comportamentais das pessoas envolvidas nos processos de negócio e com responsabilidade direta na operação de TI;

- Falhas ou ausência no desenvolvimento das normas e procedimentos da política de segurança;

- Pelas falhas no desenvolvimento de aplicações, de configurações de serviços e de sistemas de segurança;

- Desenvolvimento permanente de ataques mais sofisticados.


2929

Segurança é uma disciplina complexa e deve abordar todos os aspectos relacionados a ela. Aspectos Humanos, organizacionais e Sociais e Tecnológicos divididos em físicos e de infraestrutura. Dada sua complexidade e multiplicidade de fatores a controlar, tentar impor um nível de segurança de 100% significa obter orçamento e tempo de implementação que tendem ao infinito. Além disto, pode levar a uma paranoia coletiva que engessa a organização. Desta forma, os riscos devem ser considerados de um modo abrangente, mas de forma ponderada e equilibrada. Equilibrar a segurança com os riscos significa minimizar os impactos que uma falha de segurança pode causar à organização e proteger ao máximo possível os ativos da empresa nesta situação.

Cuidados com os aspectos de tecnologia e infraestrutura - As ameaças físicas como fogo, explosões, magnetismo, calor, poeira, fumaça e umidade. - As ameaças de ataques digitais aos sistemas - A qualidade das tecnologias de proteção e defesa


3030

Cuidados com os aspectos organizacionais e de processos - A qualidade dos sistemas de controle, monitoração e gerenciamento de segurança - O nível de capacitação dos implementadores de segurança - A qualidade e aplicabilidade das políticas de segurança

Cuidados com os aspectos humanos - Funcionários ou terceiros sem conhecimento de conceitos básicos de segurança susceptíveis a ataques de engenharia social - Funcionários ou terceiros que podem estar planejando furto de informações confidenciais, sabotagem, vandalismo. - Funcionários ou terceiros que podem estar sujeitos a erros por imperícia ou imprudência - O nível de consciência de segurança dos usuários


3131

Cuidados com s erros mais freqüentes cometidos pelas pessoas - Senhas anotadas em “post-it´s” - Deixar o Computador desguarnecido - Abrir correios eletrônicos de estranhos - Senhas fracas e óbvias - Perda ou furo de Laptop - Divulgar informações confidenciais de forma inadvertida - Fazer Conexões imprudentes - Não reportar violações de segurança - Ignorar correções e update de software - Não manter atenção aos comportamentos estranhos dentro da organização


3232

Principais ataques não relacionados à tecnologia

Engenharia social A engenharia social é uma técnica que explora as fraquezas e vulnerabilidades humanas. Como não está associada à tecnologia ela é uma ameaça imponderável e seu controle é dos mais delicados e difíceis. Com esta técnica, atacantes tentam ludibriar as pessoas assumindo falsas identidades ou falando em nome de outros, comumente de poder e influência nas organizações, em situações de urgência na obtenção de acessos para execução normal de suas atividades. Esta técnica explora o fato que a maioria dos funcionários é treinada para colaborar e apoiar clientes sejam eles internos ou externos e está baseada na confiança adquirida e na habilidade de manipular pessoas.


3333

Dumpster Diving ou Trashing Esta é uma técnica baseada na análise do lixo para obtenção de informações sobre determinada empresa. Procuram nomes, dados pessoais, senhas e informações confidenciais dos alvos de ataque e informações sobre as estruturas internas de redes das vítimas. É uma técnica eficiente e muito utilizada, principalmente no Brasil. Os alvos principais são instituições financeiras. Muitos eventos deste tipo já foram identificados na Brasil onde dados de clientes foram cruzados com outras informações para acesso a dados pessoais e de contas correntes de clientes. Esta técnica nos leva a identificar a necessidade clara de utilização de fragmentadores de papéis em pontos de geração de informações sensíveis nas empresas. Esta recomendação deve ser alvo da política de segurança.

Ataques físicos Estes ataques baseiam-se em furtos de informações, fitas magnéticas, software e/ou hardware com a presença física do atacante nas instalações do alvo atacado. É menos um dos métodos menos comumente utilizados. Afetam a confidencial idade das informações internas.


3434

Informações livremente acessíveis Informações obtidas na Internet de forma aberta, tais como informações de domínios DNS, cabeçalhos de e-Mail, informações dos protocolos SNMP e NetBios, bem como a busca de informações em listas de discussão, não podem ser consideradas intrusivas e não possuem o menor controle. Outras informações provenientes de serviços, que normalmente podem ser bloqueadas em vários sistemas, como Finger, rusers, systat, ou netstat bem como banners dos protocolos Telnet e FTP, as quais mostram informações sobre versões de sistemas operacionais e serviços são facilmente obtidas. Dependendo do grau de conhecimento do atacante estas informações podem ser muito úteis para o início de exploração de outras vulnerabilidades.


3535

Fonte: www.pleaserobme.com

http://www.pleaserobme.com/


3636

Principais ataques relacionados à exploração de vulnerabilidades de tecnologia Os ataques em TI podem ser classificados em ataques passivos ou ativos. Os ataques Passivos são aqueles onde a informação é apenas observada ou copiada. É um exemplo deste ataque:

- Interceptação de informações (man in the midle)

Os ataques ativos são aqueles nos quais as informações sofrem alteração ou são desviadas. São exemplos destes ataques.

- Interrupção ou negação de serviços - Modificação de informações - Fabricação de informações


3737

Packet Sniffing Este método também é conhecido como “Passive Eavesdropping” (Escuta passiva). Ele consiste em escutar o tráfego de rede através de Software de Sniffers, livremente obtidos na Internet. As informações capturadas são aquelas disponíveis no mesmo segmento de rede a partir do qual o software está sendo executado. Senhas que trafegam abertamente pela rede, como as de serviços como FTP, Telnet e POP, podem ser facilmente obtidas. Medidas de segurança tais como segmentação de redes em perímetros específicos com Roteadores ou Firewall´s minimizam estes riscos. O uso de protocolos de criptografia tais como S/MIME para e-Mail, o IPSec em quaisquer tráfegos de pacotes e do SSH ( Security Shell ) no lugar do telnet é uma importante medida de prevenção contra Sniffing. Há ainda algumas técnicas de detecção de Sniffing tais como MAC Detection, DNS Detection, e Load Detection. Esta técnica é também utilizada hoje para obter dados em redes Wireless.

Port Scanning Os Port Scanner são software´s que utilizam prospecção dos serviços que são acessíveis e definidos por meio de mapeamento das portas TCP e UDP. Com as informações obtidas através do Port Scanning o atacante pode explorar diretamente os serviços disponíveis, economizando esforços em ataques a serviços inexistentes. O “Nmap” é o utilitário de port Scanner mais largamente utilizado e poderoso.

titulo

3838

Scanning de vulnerabilidades Após o mapeamento dos sistemas que podem ser atacados com as técnicas apresentadas acima, e dos serviços que estão disponíveis, as vulnerabilidades serão procuradas por meio dos Scanners de vulnerabilidades. Algumas vulnerabilidades comumente encontradas nas redes que os Scanners de vulnerabilidade podem analisar em roteadores, servidores, Firewall’s e sistemas operacionais são:

- Compartilhamento de arquivos que não são protegidos por senhas; - Configuração incorreta; - Software desatualizado; - Buffer Overflow em serviços, aplicativos e sistemas operacionais; - Configurações de roteadores potencialmente perigosas;

O aspecto a considerar quanto ao Scanning de vulnerabilidade é que ela é uma ferramenta de uso permitido pelos administradores de segurança para validação das configurações e verificação de vulnerabilidades do ambiente.


3939

IP Spoofing O IP Spoofing é um ataque no qual o endereço IP real do atacante é camuflado por meio de técnicas específicas de modo que ele não seja percebido ou seja percebido com uma máquina válida na rede. Requer outras técnicas adicionais para completar o ataque. Pode ser bloqueado por meio de filtros em roteadores ou impedindo com uso de regras de Firewall que pacotes com endereços internos da rede tenham origem na rede externa.


4040

Ataques de negação de serviços Os ataques de negação de serviços ou em inglês – Denial of Service – (DoS), fazem com que os recursos de determinados sistemas sejam explorados de forma tão contundente que os serviços disponíveis naquele servidor fiquem paralisados, causando negação dos serviços válidos para usuários legítimos do sistema. Os principais ataques DoS são:

Syn Flood Têm como tradução enchente de Syn´s. Syn é um comando TCPIP de requisição de conexão. Quando um atacante envia uma grande quantidade de comandos SYN a um Host, ele se torna incapaz de atender a todas estas requisições, ocorre um overflow de memória e e as requisições de usuários legítimos são desprezadas gerando negação de serviços. Ações de combate incluem a configuração dos servidores para gerarem alertas quando a quantidade de requisições de SYN chega a um determinado número.

Smurf Ataques Smurf exploram o envio de um grande número de pacotes ping para o endereço de broadcast da rede com os pacotes de envio tendo como endereço de origem a máquina a ser afetada. Assim, todos os Hosts IP da rede responderão ao ICMP request sendo o endereço de destino a máquina afetada. Praticamente toda a rede é afetada pois o tráfego de pacotes aumenta significativamente, e o Host atacado não resiste aos milhares de pacotes destinados a ele e para de responder aos serviços legítimos.


4141


4242


4343

Vírus propriamente ditos São programas que destroem dados ou sistemas de computador. Esses programas se replicam e são transferidos de um arquivo a outro no mesmo computador. No sentido mais comum da palavra, um vírus é um agente infeccioso, sem metabolismo independente e que pode se replicar somente no interior de células hospedeiras vivas. O termo vírus foi utilizado pela primeira vez durante a década de 80 para definir um programa capaz de copiar a si mesmo para dentro de um programa maior, modificando este programa, que pode ser chamado de hospedeiro. Ao se executar o hospedeiro, o vírus de computador pode fazer outras cópias de si mesmo e infectar outros programas. Quando os programas são trocados pelos usuários, eles levam consigo o vírus, infectando outros sistemas. Para infectarem outros computadores os vírus devem trafegar por disquetes, e-mail´s ou outra forma mídia física de transposição do arquivo infectado de um computador ao outro.

Worms Tem a tradução de vermes. São programas maliciosos independentes que, diferentemente dos vírus, não necessitam contaminar outros programas ou mesmo de interferência humana para se propagarem. Tem a capacidade de auto-replicação. Espalham-se de uma rede para outra com extrema rapidez, atingindo dezenas de computadores quase que simultaneamente. Aproveita-se de brechas ou vulnerabilidades nos sistemas, para se instalarem e se replicarem através de computadores conectados em rede.


4444

Back door Literalmente traduzido, "porta dos fundos". São mecanismos introduzidos em um sistema pelos seus próprios responsáveis. Sua função principal é abrir portas de entrada para futuras invasões e fornecer uma forma de entrada no sistema, que contorne as proteções principais. Apesar de nem sempre elaborados com intenções maliciosas, algumas vezes podem ser deixados acidentalmente, criando grandes problemas para os usuários finais.

Trojan Horses (Cavalos de tróia) Na mitologia clássica, o cavalo de Tróia foi um imenso cavalo de madeira, construído pelos gregos sob a liderança de Odisseu. Após sua construção, encheram seu interior com soldados armados e o deixaram como oferenda às portas da cidade de Tróia, em sinal de uma suposta rendição. Uma vez levado para dentro da cidade, os soldados saíram do cavalo e abriram os portões para o restante do exército grego, que atacou a cidade e ganhou uma guerra que durou cerca de dez anos. Analogamente, um cavalo de Tróia em computadores é um programa que pode ter aparência inofensiva, mas esconde uma outra função que é executar uma operação não autorizada. Os Cavalos de Tróia vêm camuflados em software´s legítimos que possuem códigos ocultos, executando atividades normalmente maliciosas e não previstas, cujo objetivo é instalar um grampo de teclado e/ou de mouse. Sua ação é normalmente silenciosa e não causa danos ao PC infectado.


4545

Spyware Normalmente com objetivo de fazer um anúncio comercial, mas podendo capturar endereços de e-mail, cookies e até mesmo senhas, estes programas capturam informações do usuário sem seu conhecimento. São normalmente escondidos em alguns programas freeware (gratuitos) e shareware (com período de uso determinado) e, uma vez instalados, monitoram as atividades do usuário na internet e as transferem a outra pessoa.

BOT´s Os Bot´s se diferenciam dos demais Malware´s citados acima pois tem o intuito da instalação secreta de programas maliciosos em computadores para permitir que um invasor possa controlá-los remotamente para executar diversas ações criminosas. "Os comandos executados pelos bots normalmente incluem: varrer a rede em busca de outros computadores vulneráveis e propagar o bot quando encontrá-los; desferir ataques de negação de serviço; furtar dados do computador onde está instalado; instalar outros programas maliciosos, como keyloggers ou screenloggers, para furtar senhas bancárias, entre outras; enviar SPAM´s etc".


4646

SCAMAssociado às fraudes, o SCAM é a derivado da abreviação da palavra inglês “Confidence Man” (homem de Confiança). O SCAM é um termo antigo que foi usado para qualificar aqueles criminosos que ofertam produtos que prometem falsos resultados para obtenção de ganhos financeiros. Eles tratam de oportunidades enganosas. Entre as ofertas mais comuns estão as oportunidades miraculosas de negócios ou emprego, propostas para trabalhar em casa e empréstimos facilitados. Todos podem ser encontrados em uma lista elaborada pela Federal Trade Commission em 1998 que reúne 12 tipos comuns de fraudes e golpes relacionados a spam nos Estados Unidos na época. Hoje, se utilizam da curiosidade e ingenuidade dos usuários chamando sua atenção para assuntos de seu interesse, como escândalos púbicos, políticos, religiosos, catástrofes ou temas pornográficos.

Phishing Associado à estelionato, os Phishing são mensagens que assumem o disfarce de spam comercial ou cujos títulos simulam mensagens comuns, como comunicados transmitidos dentro de uma organização ou mensagens pessoais oriundas de pessoas conhecidas. Tal disfarce tem como objetivo iludir o destinatário, solicitando-lhe que envie dados confidenciais para algum endereço eletrônico ou que se cadastre em uma página da Internet que na verdade é uma cópia falsa de alguma outra página legítima. O Phishing SCAM como chamamos no Brasil é o meio pelo qual Hackers, fraudadores e criminosos em geral, utilizando a engenharia Social para explorar a curiosidade e ingenuidade dos usuários, usando SPAM como meio de distribuir em larga escala suas armadilhas. Na maioria dos casos, essas armadilhas são criadas para obter informações pessoais e senhas para que possam ser usadas em algum tipo de fraude ou para transferências bancárias e compras pela Internet.


4747

Proteção e Defesa de Redes – Tecnologias de Segurança

Para tratar as ameaças e vulnerabilidades que se apresentam, a proteção das redes é uma exigência que se impõe aos negócios. Proteção não é um elemento isolado e sim um conjunto de estratégias baseados em procedimentos e tecnologias postas em prática com o fim de minimizar riscos. Estas estratégias devem materializar-se em um sistema que deverá tratar da Gestão de segurança Corporativa e deverá englobar Políticas, Tecnologia, Processos e Pessoas que são pilares que devem ser tratados para o estabelecimento de proteção de redes, elementos fundamentais a serem evidenciados em um planejamento global de segurança das informações.


4848

Arquiteturas de redes Seguras

São todos os elementos de proteção e defesa de rede postos em prática para proteger os ativos da organização. Arquitetura de rede segura permite operacionalizar a política de segurança. O principal objetivo é proteger o acesso aos elementos-chave da infra-estrutura de rede, bem como as informações que são armazenados e que nela trafegam. A arquitetura de rede segura é importante e se faz necessária pelos seguintes motivos: - Necessária para especificar produtos de segurança de infra-estrutura tais como firewalls, IDS, roteadores, proxies, VPNs, sistemas de criptografia, autenticação e de controle de acesso à rede, aos sistemas operacionais e às aplicações; - Necessária para proteger as redes da corporação contra os ataques aos quais estamos expostos - Necessária para especificar os controles necessários, baseados em ferramentas e processos de gerenciamento e monitoração de segurança; - Necessária para Definir a estrutura de alta disponibilidade para os sistemas críticos; - Necessária para gerar procedimentos e métricas para os controles;


4949

Elementos principais e necessários de uma arquitetura de rede segura:] - Sistemas de autenticação e de controle de acesso robustos e confiáveis para prover garantia da identidade, do sigilo e da privacidade daqueles que acessam dados críticos; - Sistemas que permitam controle total da rede e nos permita detectar as ameaças e potenciais ataques; - Sistemas e protocolos de segurança baseados em criptografia que garantam sigilo e -privacidade às comunicações; - Sistemas que garantam proteção da rede contra as ameaças de ataques externos e internos; - Sistemas que garantam disponibilidade da tecnologia que sustenta os ativos para prover continuidade dos negócios em momentos de crises.


5050

Autenticação

A autenticação é o meio pelo qual se identifica um usuário ou entidade qualquer que deseja obter acesso aos recursos de determinado sistema. Entende-se genericamente por usuário, uma conta de Login ou mesmo outra entidade qualquer que deseja ter acesso aos recursos daquele sistema que o está autenticando. Autenticação permite obter a garantia de que o usuário ou entidade que solicita ser autenticado por determinado sistema é realmente quem ele diz que ser. A autenticação pode ser realizada pelos sistemas de autenticação baseada em três fatores:

O que o usuário tem pode ser uma forma de autenticação baseada naquilo que você possui e só você possui. Por exemplo, um crachá, um cartão de crédito, uma chave física, ou um par de chaves públicas contidas em determinado dispositivo. Neste último caso, você possui a chave privada e o elemento autenticador possui sua chave pública.

O que você sabe e só você sabe, pode ser definido como uma senha, ou um segredo de cofre. No caso da senha, o elemento autenticador sabe a senha e você é autenticado via “Challenge Response” (Resposta ao desafio), Se você acertar a senha o sistema autentica você.

O que você é define algo pessoal, físico, impressão de fundo de olho, reconhecimento de voz, uma impressão digital, ou reconhecimento digital de assinatura, métodos chamados de autenticação biométrica.

- O que você tem; - O que você é;

- Ou o que você sabe.


5151

Autorização ou controle de acesso Autorização define o que o usuário ou entidade autenticada pode acessar no sistema no qual está autenticado. Determina as alçadas de autoridade de determinada entidade ou indivíduo frente a um sistema: - Este usuário pode ver ou alterar a tabela de salários do RH? - Qual o valor dos pedidos ele pode aprovar? - Este usuário pode alterar as tabelas de acesso de equipamentos de rede? - Qual lista de acesso ele pode alterar? - Este usuário tem acessos privilegiados aos sistemas operacionais que suportam aplicações ou serviços de infra estrutura? - Qual nível de acesso ele possui? Quais serviços do SO ele tem privilégios de administração?

Normalmente, o controle de acesso em sistemas é uma função da aplicação que decide o nível de acesso baseado na autenticação e permitem garantir que somente as pessoas autorizadas possam ler as informações a eles destinadas.


5252

Sistemas de Gerenciamento de identidades e do controle de acesso - Conceito de gerenciamento de identidades

Administração da identidade digital de uma pessoa em um contexto computacional representada pelas várias contas de usuário e seu ciclo de vida, a saber:

Criação da conta - Provisionamento da conta - Alteração da conta - Bloqueio da conta

Conceito de controle de acesso Administração do perfil e das permissões de acesso que uma identidade digital possui em um determinado contexto computacional e seu ciclo de vida, a saber: • Definição do perfil • Concessão do acesso • Alterações no acesso e/ou no Perfil • Remoção do acesso


5353

Em virtude do exposto, hoje nos perguntamos como andam as identidades de usuários e o controle de acesso às redes, aos sistemas operacionais e às aplicações.

Perguntamo-nos também:

• Quantos IDs e Senhas em média , um funcionário de sua empresa possui ? 3, 5, 10 ? • Quanto tempo um novo funcionário tem de aguardar para receber acesso para todos os sistemas que necessita ? 3, 5, 15 dias ? • Quantos administradores de plataformas tem que criar usuários ? 3, 5, 10 ? • Quantos chamados são feitos no Help Desk para problemas com senhas/ IDs ? • Quantos IDs inativos/órfãos sua empresa possui ? • Como ocorre o gerenciamento dos acessos ao longo da vida de um usuário na empresa? • As credenciais de acesso são revistas quando um funcionário muda de função na empresa?


5454


5555

Filtros de pacotes Realizam o roteamento de pacotes de maneira seletiva, baseado em regras definidas no Firewall, aceitando ou descartando pacotes por meio de análises de seus cabeçalhos. Atuam na camada 3 no nível de rede. As regras do Firewall devem traduzir as políticas de segurança da organização. Este tipo de filtros é flexível, rápido e barato, mas não consegue implementar alguns níveis de segurança como evitar o IPSpoofing por ser baseado em tabelas estáticas. Os firewall modernos utilizam outra tecnologia de filtragem de pacotes chamada Stateful Inspection ou Filtro com base em estados.

Proxies Os Proxies são software que funcionam como Gateway´s entre duas redes, permitindo que se estabeleçam requisições da rede interna para a externa e verificando o conteúdo do retorno das requisições com base em regras estabelecidas. Os Proxies interceptam as conexões internas e abrem novas conexões com o mundo externo de forma que os pacotes passam a ter origem nele e não nos hosts internos, impedindo assim conexões diretas do cliente interno com os servidores externos. Eles trabalham no nível de aplicação e transporte.


5656

NAT Network Address Translation, ou NAT, não foram criados como componentes de segurança e sim para tratar problemas de escassez de endereçamento IP em grandes redes. O NAT faz a tradução dos endereços IP internos das redes que são endereços IP reservados, conforme tabela abaixo, para IP válidos na internet, quando a rede externa é acessada. Este serviços é essencial nos Firewall´s. Abaixo mostra os endereços reservados para redes internas, inválidos na internet.

10.0.0.0 10.255.255.255 (10/8 prefix) 172.16.0.0 172.31.255.255 (172.16/12 prefix) 192.168.0.0 192.168.255.255 (192.168/16 prefix)


5757

IDS IDS significa Intrusion Detection System – Sistema de Detecção de Intrusão – e foi projetado para detectar intrusões e ataques à redes. É mais um componente do conjunto de produtos do arsenal interno de defesa a serem implementados para a proteção de redes. A grande aplicabilidade dos IDS é que eles podem detectar tentativas de ataques à serviço em portas legítimos da rede, que normalmente tem que ser permitidas, passando pelo Firewall. Durante muito tempo a abordagem de uso de IDS foi feita com base em proteção de borda, que significa proteger os perímetros de rede que estão expostos ao ambiente externo. Hoje, com as integrações a interconexões de redes do ambiente colaborativo necessário aos negócios, a proteção interna das redes com IDS já é uma realidade que deve ser considerada. Nesta abordagem o objetivo é detectar atividades anômalas, incorretas ou impróprias feitas pelos usuários internos aos servidores internos ou externos da organização.


5858

Agenda

5959





Perícia forense

120

120

120

120

90


6060

Conceitos e Importância Como ponto de partida na condução do planejamento de segurança da informação, indicado no texto na norma NBR ISO/IEC 17799, a ser tratada adiante em nosso estudo, as Políticas de Segurança merecem uma abordagem específica. Seu desenvolvimento e elaboração requerem cuidados especiais para torná-la implementável. As políticas de segurança deve tratar aspectos humanos, culturais e tecnológicos, levando em consideração os processos de negócio.

Como conceito, o planejamento de segurança deve considerar a Política como o topo de uma hierarquia de documentos que abordarão e orientarão as ações de implementações futuras de negócios, baseados em tecnologias, processos e pessoas.

6161

As Diferenças entre Política (“policy”), Normas (“standards” ou “statements”), e Procedimentos (“guidelines”) quanto a sua aplicabilidade em uma infraestrutura de segurança deve ser estabelecida de forma a tornar consenso o uso de diversos nomes aplicáveis a estes conceitos entre aqueles que participem do processo de gestão de segurança das informações. Sob este prisma, as seguintes definições são necessárias:

Uma Política é tipicamente um documento que descreve requerimentos específicos ou regras que devem ser seguidas. No mundo da segurança da informação ou de redes, políticas são normalmente específicas à determinada área. Por exemplo, uma política de uso deveria cobrir as regulamentações necessárias para uso apropriado de recursos de tecnologia da informação e suas facilidades.

Uma Norma é tipicamente uma coleção sistematizada de procedimentos específicos ou requerimentos que devem ser seguidos por quaisquer indivíduos numa organização. Abordam os detalhes da Política. São descrições ou indicações de uma conduta aceitável para estabelecimento de melhores práticas. As normas devem conter as punições aplicáveis em caso de desobediência às condutas aceitáveis.

Os Procedimentos são tipicamente recomendações de como fazer. Elas existem para que todos possam cumprir aquilo que foi estabelecido na política e para que administradores de sistemas possam configurar seus sistemas de acordo com as necessidades do negócio.


6262

Elementos básicos da Política As políticas aplicáveis à tecnologias devem ser centradas nos detalhes mais relevantes do ambiente computacional de rede, e devem ser baseadas nos seguintes princípios gerais: As considerações acima podem ser um ponto de partida para a elaboração da política geral e para a elaboração de normas específicas para cada um destes casos, dando continuidade ao acervo de documentos que constituem as Políticas de modo mais amplo. - Definir a informação ou recursos a serem protegidos - Especificar as ameaças às quais os recursos estão sujeitos - Especificar as vulnerabilidades que podem ser exploradas pelas ameaças - Definir abrangência e escopo de atuação - Definir quem tem autoridade para sancionar, implementar e fiscalizar o cumprimento da política - Definir meios de distribuição e forma de divulgação - Definir freqüência de revisão


6363

As seguintes normas podem ser desenvolvidas com base no que foi declarado na política, seguem alguns exemplos.

- Normas para acesso local e remoto e uso de acervos computacionais; - Normas para conexões de rede locais e remotas de parceiros; - Normas para definição de atuação contra incidentes de segurança; - Normas para senhas - Normas para Firewall - Normas para e-Mail e Internet


6464

Relação e definição de Políticas, Normas e Procedimentos.


6565

Estações de rede seguras As estações de trabalho da rede internas que forem consideradas mais críticas requerem os mesmos cuidados dos Laptop´s e Notebook´s. Impedimento de instalação de software é um requerimento importante. Licenciamento corporativo é coisa séria. A utilização de FreeWare pode comprometer tanto a privacidade quanto a performance das máquinas. Controle de atualização dos antivírus e do comportamento das estações se fazem necessários. Cuidados especiais devem ser tomados com os Browsers. Configurações de segurança e consciência sobre os ataques são fortes pontos de apoio para minimizar os riscos.


6666

Gerenciamento e monitoração da arquitetura de Segurança Seguindo nas medidas e controles para proteção de redes, um ponto importante já citado é a questão dos controles que precisam ser estabelecidos para suportar a arquitetura de rede segura implementada. Além daqueles já citados, outros são normalmente aplicados com base em ferramentas e procedimentos de gerenciamento e monitoração da infra-estrutura de tecnologias de segurança. Eles têm por objetivo garantir a saúde da rede como um todo, não enfocando apenas os elementos de proteção de forma individualizada.


6767

Resposta a Incidentes de Segurança As equipes de respostas a incidentes deverão atuar na estrutura de tecnologia e eventualmente de negócios elaborando planos de atendimentos emergenciais diante de ataques de Hackers, Worm´s invasores e outros agentes externos ou internos para imediata intervenção e bloqueio da vulnerabilidade exposta. Contatos com equipes de respostas a incidentes de outras companhias, participação de “mailing Lists” de empresas especializadas em segurança na Internet ou a contratação de serviços de respsotas a incidentes de empresas especializadas são alternativas que devem ser avaliadas conforme o enfoque estratégico de segurança da empresa.


6868

Contingência, alta disponibilidade e Continuidade dos negócios. A continuidade dos negócios das corporações dos dias atuais está intrinsecamente relacionada com a disponibilidade da estrutura de tecnologia das informações. Neste contexto, a segurança das informações e sua atuação direta nas redes corporativas têm papel fundamental no processo de continuidade dos negócios, uma vez que tem objetivo semelhante que é o de melhorar os aspectos de confidencialidade, integridade e principalmente de disponibilidade dos negócios. Cada vez mais os profissionais de segurança da informação precisam integrar suas soluções de proteção de redes aos negócios e, numa visão abrangente, adequá-los aos requisitos de disponibilidade exigidos. Este papel não deve negligenciado pela segurança de redes, pois um episódio de invasão pode não ser mais nocivo aos negócios do que a interrupção de serviços críticos por motivos não diretamente associados à Hackers ou Insiders. A atuação em si do profissional de segurança em assuntos que não estão diretamente associados à segurança de redes é cada vez mais comum, exigindo destes profissionais habilidades cada vez mais abrangentes. Atuar de forma a prover continuidade de negócios significa atuar diretamente em soluções que disponibilizem alta disponibilidade ao ambiente de TI. Entre elas estão incluídas soluções de alta disponibilidade de armazenamento de dados, de servidores, componentes de rede e de componentes da arquitetura de segurança, e soluções de contingência que se adequem às necessidades da empresa.


6969

Estrutura de armazenamento e salvaguarda de informações

Definição dos termos: - Contingência tecnológica – garantia da continuidade dos serviços na ocorrência de uma falha. - Backup – capacidade de salvaguarda e recuperação de dados referentes a um contexto anterior


7070

Alta disponibilidade e contingência A ameaça de perda de viabilidade econômica de negócios em função de interrupção da operação de TI deve direcionar as estratégias e tecnologias empregáveis para alta disponibilidade. Alta disponibilidade dever ser trabalhada de forma que possamos avaliar e selecionar a mais apropriada estratégia de continuidade de negócios. Em termos teóricos, a declaração de missão do conceito de alta disponibilidade pode ser assim encarada: “Identificar e implementar soluções de alta disponibilidade que facilitem a contínua melhora na qualidade dos serviços, que seja elemento catalisador da melhoria de performance dos negócios e que garantam a sua continuidade”. Alta disponibilidade leva a redução de custos de propriedade pela diminuição de índices de falhas e evitando seu impacto nos negócios.


7171

As exposições a episódios de baixa disponibilidade e interrupções de serviços é diretamente proporcional ao grau de dependência de organização quanto à tecnologia da informação, e são dirigidas pelo crescimento explosivo das intranet´s e Internet. O novo ambiente de negócios requer operação continua, „Non-Stop”, e soluções de contorno manuais para recuperação não são mais aceitáveis. Abaixo há uma ilustração das perdas apresentadas por tipos de atividade em função do tempo de paralização das operações.


7272

A complexidade dos ambientes faz da alta disponibilidade um item difícil de ser alcançado. Assim todo novo investimento é uma oportunidade de melhorar a disponibilidade do ambiente. Podemos considerar os seguintes desafios que se apresentam em se tratando da estratégia, custo e de viabilidade de estruturas que devem ser avaliadas quanto à disponibilidade. - Número de plataformas diferentes - Tamanho dos bancos de dados - Nível de integração entre os sistemas - Volume de dados - Número de interfaces - Grau de automação - Diversidade de sistemas de rede - Adequação das práticas de gerenciamento - Requerimentos de performance


Agenda

7373





Perícia forense

120

120

120

120

90

Perícia forense aplicada a tecnologia

7474

A Tecnologia da Informação avançou rapidamente em pouco tempo. As instituições estão utilizando estes avanços tecnológicos para melhorar as operações empresariais e o potencial de mercado. Pode-se pagar contas on-line; ou comprar qualquer coisa desde livros a mantimentos. Uma vasta quantia de importantes e sensíveis dados flui ao redor do Cyber Espaço e a qualquer momento poderá cair em mãos maliciosas. Infelizmente, isto acontece diariamente. Quando alguém "rouba” dado do Cyber Espaço, é chamado de Cyber Crime. Antigamente a chave para resolver crimes era obtida através de impressões digitais, relatórios de toxicologia, análise de rastro, documentos em papel e outros meios tradicionais.

Enquanto estes ainda provêem pedaços muito importantes do quebra-cabeça em muitos crimes cometidos hoje, a tecnologia adicionou uma outra dimensão com a evidência digital. Freqüentemente mais informações podem ser ganhas da análise de um computador que o de uma impressão digital. A história inteira de um crime pode ser contada com a recuperação de um arquivo que pensaram ter sido apagado.

7575

Da mesma maneira que com outras ciências forenses, os profissionais da lei estão reconhecendo que a Perícia Forense pode prover evidência extremamente importante para solucionar um crime. Como é colocada uma maior ênfase em evidência digital, se tornará crescentemente crítico que a evidência seja controlada e examinada corretamente. Perícia Forense em Sistemas Computacionais é o processo de coleta, recuperação, análise e corelacionamento de dados que visa, dentro do possível, reconstruir o curso das ações e recriar cenários completos fidedignos.

Perícia Forense Aplicada a Redes No Manual de Patologia Forense do Colégio de Patologistas Americanos (1990), a ciência forense é definida como “a aplicação de princípios das ciências físicas ao direito na busca da verdade em questões cíveis, criminais e de comportamento social para que não se cometam injustiças contra qualquer membro da sociedade”. Portanto, define-se a perícia forense aplicada a redes como o estudo do tráfego de rede para procurar a verdade em questões cíveis, criminais e administrativas para proteger usuários e recursos de exploração, invasão de privacidade e qualquer outro crime promovido pela contínua expansão das conexões em rede.


7676

Análise Pericial A análise pericial é o processo usado pelo investigador para descobrir informações valiosas, a busca e extração de dados relevantes para uma investigação. O processo de análise pericial pode ser dividido em duas camadas: análise física e análise lógica. A análise física é a pesquisa de seqüências e a extração de dados de toda a imagem pericial, dos arquivos normais às partes inacessíveis da mídia. A análise lógica consiste em analisar os arquivos das partições. O sistema de arquivos é investigado no formato nativo, percorrendo-se a árvore de diretórios do mesmo modo que se faz em um computador comum.

Análise Física Durante a análise física são investigados os dados brutos da mídia de armazenamento. Ocasionalmente, pode-se começar a investigação por essa etapa, por exemplo, quando se está investigando o conteúdo de um disco rígido desconhecido ou danificado. Depois que o software de criação de imagens tiver fixado as provas do sistema, os dados podem ser analisados por três processos principais: uma pesquisa de seqüência, um processo de busca e extração e uma extração de espaço subaproveitado e livre de arquivos. Todas as operações são realizadas na imagem pericial ou na copia restaurada das provas. Com freqüência, se faz pesquisas de seqüências para produzir listas de dados. Essas listas são úteis nas fases posteriores da investigação. Entre as listas geradas estão as seguintes: Todos os URLs encontrados na mídia. Todos os endereços de e-mail encontrados na mídia. Todas as ocorrências de pesquisa de seqüência com palavras sensíveis a caixa alta e baixa.


7777

Perícia Forense para Obtenção de Evidências Diariamente há diversos tipos de casos de fraudes e crimes (Cyber Crimes), onde o meio eletrônico foi em algum momento utilizado para este fim. A missão da perícia forense é a obtenção de provas irrefutáveis, as quais irão se tornar o elemento chave na decisão de situações jurídicas, tanto na esfera civil quanto criminal. Para tanto, é critico observar uma metodologia estruturada visando à obtenção do sucesso nestes projetos.

Identificação Dentre os vários fatores envolvidos no caso, é necessário estabelecer com clareza quais são as conexões relevantes como datas, nomes de pessoas, empresas, órgãos públicos, autarquias, instituições etc., dentre as quais foi estabelecida a comunicação eletrônica. Discos rígidos em computadores podem trazer a sua origem (imensas quantidades de informações) após os processos de recuperação de dados.


7878

Preservação Todas as evidências encontradas precisam obrigatoriamente ser legítimas, para terem sua posterior validade jurídica. Sendo assim, todo o processo relativo à obtenção e coleta das mesmas, seja no elemento físico (computadores) ou lógico (mapas de armazenamento de memória de dados) deve seguir normas internacionais. Parte-se sempre do princípio de que a outra parte envolvida no caso poderá e deverá pedir a contraprova, sobre os mesmos elementos físicos, então o profissionalismo destas tarefas será critico na sequência do processo, lembrando sempre que, caso o juiz não valide a evidência, ela não poderá ser reapresentada.

Análise Será a pesquisa propriamente dita, onde todos os filtros de camadas de informação já foram transpostos e pode-se deter especificamente nos elementos relevantes ao caso em questão. Novamente, deve-se sempre ser muito profissional em termos da obtenção da chamada “prova legítima”, a qual consiste numa demonstração efetiva e inquestionável dos rastros e elementos da comunicação entre as partes envolvidas e seu teor, além das datas, trilhas, e histórico dos segmentos de disco utilizados.


7979

Apresentação Tecnicamente chamada de “substanciação da evidência”, ela consiste no enquadramento das evidências dentro do formato jurídico como o caso será ou poderá ser tratado. Os advogados de cada uma das partes ou mesmo o juiz do caso poderão enquadrá-lo na esfera civil ou criminal ou mesmo em ambas. Desta forma, quando se tem a certeza material das evidências, atua-se em conjunto com uma das partes acima descritas para a apresentação das mesmas.


8080

Configurar uma rede sem fio é incrivelmente fácil. Não há cabos para puxar e não é necessário fazer buracos na parede; basta conectar o ponto de acesso (AP) sem fio, deixar que o gerenciador de conexão sem fio faça a auto-associação e pronto! Você está online. Mas, infelizmente, todas as outras pessoas que por acaso estão no intervalo de difusão do seu AP também estão online, e aí começa o problema. Toda empresa tem informações que devem ser mantidas em sigilo. Segredos comerciais, código-fonte ou até mesmo os livros contábeis da empresa podem cair em mãos perversas muito facilmente. Se houver dados de cliente armazenados na sua rede, bloquear o acesso é algo ainda mais imperativo. Se alguns números de cartão de crédito forem divulgados, isso poderá destruir para sempre a confiança dos seus clientes; em alguns estados dos EUA, a simples possibilidade de roubo de números de cartão de crédito pode levar à instauração de processos por divulgação de dados sigilosos. E o acesso à rede sem fio não pára no recinto da sua empresa; se a sua rede for aberta, qualquer pessoa poderá se instalar em sua área de estacionamento e se conectar.


8181

Saiba quem é o seu inimigo! Há três tipos básicos de pessoas mal-intencionadas contra as quais você precisa proteger a sua rede: "caçadores de emoções" (thrillseekers) e wardrivers, ladrões de largura de banda e invasores profissionais.

Os caçadores de emoções e wardrivers casuais são as pessoas que andam por aí com um laptop, procurando redes sem fio para se conectar. Geralmente eles não causam mal e são motivados pela aventura de fazer uma invasão eletrônica. As medidas de segurança mais simples normalmente são suficientes para detê-los, principalmente se houver outras redes abertas por perto.


Os ladrões de largura de banda sabem exatamente o que desejam. Eles podem enviar grandes quantidades de spams e baixar filmes pirateados ou pornográficos. Seja qual for a ação desses ladrões, há um motivo que justifica o fato de atuarem na rede da sua empresa e não em uma rede própria: eles não têm de se preocupar com o fato de serem rastreados, não precisam se responsabilizar por seus atos e não têm de pagar pela largura de banda que utilizam. Como se beneficiam da invasão, estão mais dispostos a entrar em sua rede, mas, assim como os caçadores de emoções, buscam a opção mais fácil disponível.


8282

Os invasores profissionais são raros, mas assustadores. Ou eles querem os dados armazenados na sua rede ou querem prejudicá-lo. Não são intimidados por medidas de segurança casuais, uma vez que não procuram alvos fáceis. Esses invasores querem informações valiosas que só você possui, esperam que elas estejam minimamente protegidas e estão preparados para trabalhar duro a fim de obter acesso à sua rede ou até mesmo arruiná-la totalmente.

Não custa muito para que uma pessoa mal-intencionada se torne ainda mais perigosa quando tem pressa, e a segurança da sua rede pode ser comprometida por um único ponto com menos proteção. Em um acontecimento recente que ocupou bastante espaço na mídia, três wardrivers descobriram que uma cadeia nacional de lojas de varejo da região do meio-oeste dos EUA estava usando scanners de preços com tecnologia sem fio.

Não havia acesso ao cliente por pessoas, apenas a transferência de dados automatizada a partir do sistema do ponto de venda. Todavia, as transações não eram criptografadas, e o AP usava a senha de administração padrão, por isso os invasores conseguiram acessar a rede geral da loja. Eles instalaram um pequeno programa em um dos servidores corporativos para capturar números de cartão de crédito em um arquivo de texto, que poderiam recuperar facilmente na área de estacionamento. Os três ladrões foram presos e condenados por fraude, mas você não quer que a sua empresa ganhe esse tipo de publicidade, não é mesmo?

Cenário 1

8383

Café com ponto de acesso Você está montando uma rede como um serviço para os seus clientes, para que eles venham ao seu estabelecimento mais vezes, fiquem por mais tempo e tomem mais café. Os usuários podem ser qualquer pessoa que entre no café com um laptop, por isso a facilidade de uso é o aspecto mais importante. Como você está operando uma rede pública à qual as pessoas irão se conectar, não há muito o que se pode ou deve fazer. Tentar configurar alguma forma de autenticação ou criptografia espantará os clientes.

Certamente, você não quer ter o trabalho de manter um banco de dados de usuários e exigir que as pessoas façam logon. A solução recomendada: usar um AP que permita o isolamento de clientes para ajudar a protegê-los uns dos outros. Outra recomendação é manter essa rede completamente separada da rede interna da loja, caso você tenha uma.

Cenário 2

8484

Um pequeno escritório de contabilidade Você está montando uma rede para que os seus três funcionários possam compartilhar facilmente o trabalho e arquivos. Os usuários são esses três funcionários e você, por isso uma pequena configuração de cliente não é algo complicado. Além dos wardrivers e ladrões de largura de banda, você precisa proteger os dados financeiros dos seus clientes. A solução recomendada: todo o equipamento sem fio deve ser novo e ter suporte aos recursos e protocolos mais modernos, e você deve configurar o tipo de segurança WPA-Personal. Como chave de autenticação pré-compartilhada, escolha uma palavra que não esteja dicionarizada. A nossa regra é escolher uma senha, uma sentença complexa (com letras maiúsculas e minúsculas, números e caracteres especiais) fácil de lembrar, mas difícil para outras pessoas adivinharem. Por exemplo, "Ser ou não ser? Eis a questão". Certifique-se também de que o AP tem uma opção de desativar o isolamento de clientes, do contrário os recursos de colaboração da rede serão perdidos.

Cenário 3

8585

Escritório de advocacia com acesso de convidado A sua estrutura de apoio tem conexão sem fio para que todos os advogados, paralegais e assistentes possam facilmente compartilhar arquivos e trabalhar juntos nos casos. Você também oferece acesso de convidado para que os clientes ou advogados que visitam o escritório possam acessar os respectivos arquivos. A segurança aqui é um aspecto incrivelmente vital; se os registros legais dos seus clientes vazarem, você não só perderá um negócio, mas poderá ter o registro de advogado cassado ou sofrer conseqüências criminais. A solução recomendada: monte duas infra-estruturas sem fio. Use APs de alta qualidade que dêem suporte ao tipo de segurança WPA2-Enterprise e a SSIDs duplos, um para a estrutura de apoio e outro para o acesso de convidado.

Configure o lado do funcionário para usar WPA2-Enterprise para autenticação e criptografia. Você precisará de um servidor RADIUS (execute os Serviços de Autenticação da Internet apenas nos controladores de domínio, para manter a simplicidade) e de software cliente atualizado (Windows XP SP2 pelo menos). Se você usar EAP-TLS para autenticação, precisará também de certificados digitais.

Configure o lado do convidado como uma rede pública aberta. Mais uma vez, os convidados não conseguirão se integrar facilmente a protocolos como WPA-Personal ou WPA-Enterprise, por isso você deve poupá-los (e a si mesmo) desse aborrecimento. Permita a funcionalidade de VPN (rede virtual privada) de saída no lado do convidado, de modo que os convidados possam se conectar às suas próprias redes corporativas a fim de recuperar dados.


8686

A segurança da rede sem fio não é uma proposta única para todas as necessidades. Antes mesmo de pensar em implementar um projeto de segurança, você deve considerar várias questões.

Quem são os usuários? São os seus funcionários ou clientes? Quanto da configuração os usuários poderão acessar? Serão sempre as mesmas pessoas que usarão a rede todos os dias ou pessoas diferentes?

Por que você está instalando uma rede sem fio? Deseja compartilhar arquivos entre funcionários? Deseja um gateway para a Internet? Você quer oferecer acesso sem fio aos seus clientes com a intenção de atraí-los ao seu estabelecimento? Pretende substituir um cabeamento Token Ring antigo nas suas instalações?

O que você está tentando proteger? Você não precisa ter uma infra-estrutura de segurança invejada pelo Pentágono. O que você precisa é de segurança suficiente para que o trabalho de invadir a sua rede não compense o valor dos dados contidos nela. Números de cartão de crédito, código-fonte, registros médicos ou legais, tudo isso tem muito valor. O manual do funcionário ou a programação de turnos? Talvez você considere esses recursos de pouco valor, mas, para alguém que está envolvido com engenharia social, eles contêm informações altamente úteis sobre as práticas da sua organização e os hábitos dos seus funcionários. Até mesmo a largura de banda é valiosa. No entanto, lembre-se de que invasores inteligentes conseguem entrar em lugares inesperados, por isso certifique-se de que você não está arriscando mais do que imagina.


8787

Como não proteger uma rede sem fio

Há muitos conselhos falsos sobre segurança de conexões sem fio circulando na Internet. Eles se repetem com freqüência em artigos e seminários porque, bem, "parecem bons". Então vamos agora mesmo desfazer alguns mitos comuns sobre a segurança de conexões sem fio.

Oculte o SSID No AP, o SSID não é nada mais do que um nome. Ele nunca deve funcionar como senha, ainda que as pessoas o tenham transformado em uma desabilitando a sua difusão, pensando que isso tornaria suas redes mais seguras. Isso não é verdade. Sempre que um cliente se associa a um AP, ele inclui o SSID na mensagem de associação - em texto não criptografado, visível para qualquer pessoa que tenha um sniffer (farejador) sem fio. Por isso, vá em frente e habilite a difusão do SSID. A configuração zero do Windows® XP requer o SSID, ele é obrigatório segundo a especificação 802.11 e, para o tipo de segurança eficiente das conexões sem fio que recomendamos aqui, não tem problema se ele ficar visível.

Filtre endereços MAC A filtragem de endereços MAC (controle de acesso a mídia) parece ótima na teoria. Todos os dispositivos de rede do mundo têm um endereço MAC exclusivo; portanto, ao restringir quais endereços MAC podem ser associados à sua rede sem fio, você está descartando a possibilidade de invasões, certo? Errado. O problema é que o endereço MAC é enviado com o cabeçalho de cada pacote, ficando de fora de qualquer criptografia que esteja sendo usada, e os analisadores de pacotes são altamente disponíveis, assim como os aplicativos de falsificação do MAC. Também é um incômodo do ponto de vista administrativo, pois cada novo dispositivo que se conecta à rede deve ser inserido no AP pelo administrador de sistemas. Evite todo esse trabalho e não use o recurso.


8888

Planos de Contingência São desenvolvidos para cada ameaça considerada em cada um dos processos do negócio pertencente ao escopo, definido em detalhes os procedimentos a serem executados em estado de contingência. É acertadamente subdivido em três módulos distintos e complementares que tratam especificamente de cada momento vivido pela empresa.

Plano de Administração de Crise Este documento tem o propósito de definir passo – a – passo o funcionamento das equipes envolvidas com o acionamento da contingência antes, durante e depois da ocorrência do incidente. Além disso, tem que definir os procedimentos a serem executados pela mesma equipe no período de retorno à normalidade. O comportamento da empresa na comunicação do fato à imprensa é um exemplo típico de tratamento dado pelo plano.


8989

Plano de Continuidade Operacional Este documento tem o propósito de definir os procedimentos para contingenciamento dos ativos que suportam cada processo de negócio, objetivando reduzir o tempo de indisponibilidade e, consequentemente, os impactos potenciais ao negócio. Orientar as ações diante da queda de uma conexão à Internet, exemplificam os desafios organizados pelo plano.

Plano de Recuperação de Desastres Este documento tem o propósito de definir um plano de recuperação e restauração das funcionalidades dos ativos afetados que suportam os processos de negócio, a fim de restabelecer o ambiente e as condições originais de operação. É fator crítico de sucesso estabelecer adequadamente os gatilhos de acionamento para cada plano de contingência. Estes gatilhos são parâmetros de tolerância usados para sinalizar o início da operacionalização da contingência, evitando acionamentos prematuros ou tardios. Dependendo das características do objeto da contingência, os parâmetros podem ser: percentual de recurso afetado, quantidade de recursos afetados, tempo de indisponibilidade, impactos financeiros etc.

Prática

9090

Uso das ferramentas de análise forenses

segurança da informação com windows server

Technology