FACULDADE SALESIANA DE VITÓRIA PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES

ELIANA NASCIMENTO MARINHO LEANDRO MARINHO SANTOS

UMA PROPOSTA DE POLÍTICA DE SEGURANÇA EM REDES LINUX

VITÓRIA 2007

2

ELIANA NASCIMENTO MARINHO LEANDRO MARINHO SANTOS

UMA PROPOSTA DE POLÍTICA DE SEGURANÇA EM REDES LINUX

Monografia apresentada ao Curso de Pósgraduação em Segurança de Redes de

Computadores da Faculdade Salesiana de Vitória, como requisito parcial para obtenção do título de Especialista em Segurança de Redes de Computadores. Orientador: Prof. M.Sc. Sérgio Teixeira.

VITÓRIA 2007

3

Dados Internacionais de Catalogação-na-publicação (CIP) (Biblioteca da Faculdade Salesiana de Vitória, Espírito Santo, Brasil)

Marinho, Eliana Nascimento, 1952 M338p Uma Proposta de Política de Segurança em Redes Linux / Eliana Nascimento Marinho, Leandro Marinho Santos – 2007. 107 f. : il. Orientador: Sérgio Teixeira. Monografia (pós-graduação em Segurança de Redes de Computadores) – Faculdade Salesiana de Vitória. 1.Redes de Computadores - Segurança. 2. Política de Segurança da Informação. 3. NBR/ISO/IEC 17799. I. Santos, Leandro Marinho. II. Teixeira, Sérgio. III. Faculdade Salesiana de Vitória. IV. Título. CDU: 004.7

Ádrian Bonfá Drago Faculdade Salesiana de Vitória _____________________________________ Prof.Sc. Sandro Pereira de Melo 4NIX Serviços em Informática .4 ELIANA NASCIMENTO MARINHO LEANDRO MARINHO SANTOS UMA PROPOSTA DE POlÍTICA DE SEGURANÇA EM REDES LINUX Monografia apresentada ao Curso de Pós-graduação em Segurança de Redes de Computadores da Faculdade Salesiana de Vitória. Esp. como requisito parcial para obtenção do título de Especialista em Segurança de Redes de Computadores. COMISSÃO EXAMINADORA _____________________________________ Prof.Sc. M. Sérgio Teixeira Orientador _____________________________________ Prof. M. Aprovada em 11 de julho de 2007.

.5 AGRADECIMENTOS Agradecemos a todos que colaboraram para que este sonho se tornasse realidade. Sérgio Teixeira pela compreensão. por ter nos sustentado nos momentos difíceis sem a sua luz e sem a sua direção nada disso seria possível. Ao nosso orientador Prof. A DEUS. aos nossos pais por todo apoio e dedicação durante estes anos. por nos conceder mais esta vitória. dedicação e amizade. Em especial.

6 “Quando o meu espírito desanima.” SL 142:3 . és tu quem conhece o caminho que devo seguir.

NBR/ISO/IEC 17799. Política de Segurança da Informação. Além disso. Palavras-chave: Redes de Computadores – Segurança. é apresentada uma lista dos principais tipos de ameaças e ocorrências de ataques à segurança da informação nas empresas.7 RESUMO Este trabalho apresenta uma proposta de concepção e implementação de uma política de segurança baseada na NBR/ISO/IEC 17799 e em outros trabalhos relevantes na área de segurança de redes. . Ao final é proposta uma relação de procedimentos e configurações que devem ser implementados em uma rede baseada no Linux para evitar a invasão e o acesso indevido às informações .

Security. a list of the main types of threats and occurrences of attacks to the security of the information in the companies is presented. Keywords: Computer networks . Moreover.8 ABSTRACT This work presents a proposal of conception and implementation of one politics of security based on NBR/ISO/IEC 17799 and other excellent works in the area of security of nets. . Information Security Politics. NBR/ISO/IEC 17799. to prevent the invasion and the improper access to the information. To the end it is proposal a relation of procedures and configurations that must be implemented in a net based on the Linux.

. 50 ..................... 50 Figura 2 ........Br -Abril/Junho de 2006 .Incidentes Reportados ao CERT...9 LISTA DE FIGURAS Figura 1. Incidentes Reportados ao CERT.................. Br-1999/Junho de 2006.............. 2006 .....

................................. 70 Quadro 5: Ignorar pacote de Ping................................ 67 Quadro 3: várias opções para configurar o arquivo /etc/fstab ......................................................................................................................................................... 66 Quadro 2: Protegendo o Lilo com senha .......................... 71 Quadro 9: Opções para o arquivo de configuração Apache .......................................... 75 ........................................................... 68 Quadro 4: Sistema de arquivo /proc ...................... 70 Quadro 6: ignorar pings de broadcast.................................................................................................................................................................................................................................................... 72 Quadro 10: comando para criar chaves DAS .............. 70 Quadro 7: Desligar pacotes de fonte roteada......................................10 LISTA DE QUADROS Quadro 1: Protegendo o Grub com senha ........ 71 Quadro 8: Desligar aceitação de redirecionamento...............................................................

...............1 TRABALHOS RELACIONADOS.............. 28 3.........2.........9 RESPONDENDO A INCIDENTES DE SEGURANÇA E MAU FUNCIONAMENTO..2.......... 28 3.............. 13 1.3 METODOLOGIA.........2.........7 SEGURANÇA NA DEFINIÇÃO E NOS RECURSOS DE TRABALHO..2............3....................................................................... 32 3.. 25 3................................................2............8 TREINAMENTO DOS USUÁRIOS.....4 CONTROLE DE ACESSO..3 Terceirização ......................................................2......3.................................. 28 3.................. 17 3 FUNDAMENTOS DA NORMA NBR/ISO/IEC 17799 ...............................................4 ORGANIZAÇÃO DO TRABALHO........................2.....................5 CLASSIFICAÇÃO DA INFORMAÇÃO..............1 GERAL .......... 14 1....................................................3 CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DA INFORMAÇÃO ............ 17 2.................................................... 32 3.5 DESENVOLVIMENTO DE SEGURANÇA DE SISTEMAS.....................2........................2 CONTROLES GERAIS........................................30 3......... 32 3...............................................1 Infra-estrutura de segurança de informação ............2.........1 POLÍTICA DE SEGURANÇA.........................2 ESPECÍFICOS........................................ 33 .........3.................. 27 3.................................................2....2.......................................................................... 15 1.......................................... 23 3...............................2..........2 OBJETIVOS E ABRANGÊNCIA.........................................................1 SURGIMENTO DAS NORMAS DE SEGURANÇA DA INFORMAÇÃO... 27 3.......................1 EQUIPAMENTOS DE SEGURANÇA...................................................................2 SEGURANÇA ORGANIZACIONAL ........................................................................................................... 29 3..4 CONTABILIZAÇÃO DOS ATIVOS............................... 31 3....3 GERENCIAMENTO DE OPERAÇÕES E COMUNICAÇÕES .......1 MOTIVAÇÃO...3................... 14 1................................. 27 3.............2......................................................... 24 3.................. 15 2 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO............ 28 3..................................................................2......3 ÁREAS DE SEGURANÇA ........3........ 29 3............................................................................... 14 1.............................. 30 3...........6 SEGURANÇA EM PESSOAS ...............2...............................2....... 26 3............................2...2 Segurança de acesso a terceiros......................................11 SUMÁRIO 1 INTRODUÇÃO ..............................................................................2 OBJETIVOS ..... 29 3..... 15 1.................................

....................3...............................................1 HACKERS................................................................................ 59 6 UM MODELO DE REFERÊNCIA PARA A ELABORAÇÃO E APLICAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO..........2 HACKERS ROMÂNTICOS.............................................. 46 4................................................................................................2 NECESSIDADES DE SEGURANÇA ..........6 CONSIDERAÇÕES .....................3 HACKERS PERIGOSOS .......................................................................................................................................................................... 55 5 VULNERABILIDADES DO LINUX.....................................................6 GESTÃO DA CONTINUIDADE DO NEGÓCIO ... 79 10 SITES CONSULTADOS ................................................ 61 6.................................................................................................................2 AS FERRAMENTAS .............. 60 6.....................................3...12 3................. 88 ANEXO B ........................................... 42 4 AMEAÇAS À SEGURANÇA DA INFORMAÇÃO............................................7 PROTEGENDO A REDE ...........................................1 FASES DA IMPLEMENTAÇÃO ....................................................4 VÍRUS.. 60 6...........Pesquisa nacional de segurança da informação............................... 40 3... 92 ....................................... 82 ANEXO A ................... 62 7 UMA PROPOSTA DE APLICAÇÃO DE POLÍTICA DE SEGURANÇA EM UMA REDE LINUX...........................................................................2 DICAS GERAIS DE SEGURANÇA....................................................... 51 4............... 91 ANEXO C .............................1..................................................................................................................... 44 4.....................................................3 IMPLEMENTANDO A POLÍTICA..7 CONFORMIDADE .................. 33 3.............................................................................. 64 8 CONSIDERAÇÕES FINAIS E TRABALHOS FUTUROS ........................................... 35 3....Questionário elaborado para subsidiar a monografia ...............1......................................................................... 34 3........................................................................................................................................................1..... 62 6.........1 VULNERABILIDADE E SEGURANÇA NO LINUX ............. 61 6................... 57 5.......5 O VERDADEIRO VALOR DAS EMPRESAS CERTIFICADAS ... 44 4.............. 49 4...............................................................4 SITUAÇÃO ATUAL NAS EMPRESAS...................................................................... 56 5..................Centro de especialização em segurança ............1 MONTANDO A EQUIPE ...... 45 4...............................5 MOTIVOS QUE LEVAM OS HACKERS ÀS SUAS PRÁTICAS................ 53 4..... 77 9 REFERÊNCIAS BIBLIOGRÁFICAS .......................................................6 SEGURANÇA FÍSICA......

A internet proporciona entre outros benefícios. O aumento no acesso à Internet agravou o problema de segurança das informações que trafegam pela rede. trabalhando de forma cooperativa. pois se tornou uma condição necessária para que as empresas continuem competitivas. Uma alternativa para esse problema é a implementação de uma política de segurança. Muitas empresas e instituições que se conectaram a Internet não deram a devida atenção ao assunto. . O acesso às redes de computadores das empresas feito por funcionários remotos e móveis tem se tornado peça chave. comunicações dinâmicas. e aumento da produtividade de funcionários remotos e móveis. poucas empresas possuem estrutura adequada para enfrentar as ameaças que podem surgir. transformaram softwares proprietários em abertos.13 1 INTRODUÇÃO Grupos de profissionais de informática espalhados por todo mundo. processos mais rápidos. Atualmente é difícil imaginar o funcionamento das instituições bancárias sem o advento da Internet. surgiram novas tecnologias da informação com custos bem mais acessíveis que democratizaram o acesso Internet. Esse fato facilitou e agilizou o acesso à informação possibilitando uma maior democratização no acesso ao conhecimento. Além disso. A segurança da informação é um tópico bastante divulgado nos meios de comunicação em geral. Apesar da constante divulgação dos problemas e perigos referentes à segurança da informação. que trouxe a comodidade e a rapidez no acesso às informações.

surgiu uma nova visão empresarial que visa preservar os ativos de informação (dados das empresas) diante de um cenário de ameaças e competitividade cada vez mais acirrada. elas não implementaram uma política de segurança que permita uma maior eficácia no combate ao problema de acesso indevido às informações. muitas empresas que buscam ferramentas ou soluções para o problema de segurança nunca ouviram falar na Norma Nacional de Segurança da Informação – NBR ISO/IEC 17799. com utilização do Linux de acordo com a Norma Nacional de Segurança da Informação – NBR ISO/IEC 17799.1 MOTIVAÇÃO O avanço tecnológico e o crescimento da Internet nos últimos anos possibilitaram a comunicação global entre as empresas. Dessa forma. 1. Essa interação trouxe uma dependência dos sistemas informatizados.2. Neste contexto. Apesar da ampla divulgação nos principais meios de comunicação sobre as atuais ameaças à segurança da informação nas empresas muitas delas ainda não deram a devida atenção às ameaças existentes a segurança da informação.14 1. . O número de usuários conectados aumenta rapidamente.2 OBJETIVOS 1. Além disso. Além disso. e conseqüentemente a dependência da tecnologia da informação.1 GERAL Propor uma cartilha de política de segurança em um ambiente baseado em software livre. a segurança dos dados torna-se uma questão estratégica e um diferencial competitivo capaz de assegurar a continuidade dos negócios e conseqüentemente a própria sobrevivência da organização.

apresenta o resumo de alguns artigos sobre segurança da informação. trabalhos acadêmicos e normas técnicas sobre o assunto abordado.3 METODOLOGIA Para o desenvolvimento deste trabalho foi utilizada uma metodologia na seguinte sequência de passos: pesquisa literária com coleta e análise de dados referentes à política de segurança. Foram pesquisados diversos livros. foram pesquisados livros e revistas especializadas em Segurança da Informação. 1. por fim. Além disso. apresentar as principais ameaças a segurança da informação nas empresas e.15 1. periódicos.2 ESPECÍFICOS Apresentar os fundamentos da NBR ISO/IEC 17799 e de segurança de informação necessários para a compreensão e implementação de uma política de segurança da informação. Foram observadas algumas referências à aplicação da política de segurança no Linux. 1. . Além disso.Fundamentos de Segurança da Informação . O capítulo 2 .4 ORGANIZAÇÃO DO TRABALHO Este trabalho está organizado e estruturado com o objetivo de apresentar a importância da implantação de políticas de segurança mostrando ferramentas que possam auxiliar na implementação dessas políticas. propor um documento com diretivas de segurança específicas para as empresas. foi elaborado um questionário com sugestões de profissionais da área cujo resultado contribui com a proposta apresentada.2. pois esse trabalho fará uma abordagem focando a política de segurança no sistema operacional Linux. ataques e ferramentas de segurança.

apresenta uma explanação sobre a norma NBR/ISO/IEC 17799 e o valor que as empresas certificadas têm. e Referências . O capítulo 4 – Ameaças à Segurança da Informação . Lista de Quadros Bibliográficas. O capítulo 6 – Um Modelo de Referência para a Elaboração e Aplicação de Uma Política de segurança da Informação .propõem trabalhos relacionados à proposta apresentada. abordando os tipos de ataques que comprometem os dados.Considerações Finais e Trabalhos Futuros . O capitulo 8 . O capítulo 7 – Uma Proposta de Aplicação de Política de Segurança em uma Rede Linux apresenta o enunciado da hipótese propondo uma política de segurança no sistema operacional Linux. Glossário.tem a proposta de levantar a discussão sobre as vulnerabilidades do sistema operacional Linux. Finalmente anexos.16 O capítulo 3 – Fundamentos da Norma NBR/ISO/IEC 17799 .apresenta a proposição do problema. O capítulo 5 – Vulnerabilidades do Linux . Lista de Figuras.apresenta um resumo de um modelo de polìtica de segurança proposto por Alan Cota.

O “elo” mais fraco é equivalente a um usuário despreparado. desinformado.17 2 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Hoje em dia a informação é o ativo mais valioso das grandes Empresas. O (Policap) foi projetado para ser inserido no contexto do projeto de segurança Jscoweb. Esse projeto está desenvolvendo um esquema de autorização com o objetivo de concretizar a gerência de políticas de segurança em redes de larga escala como a Internet. Além disso. O (Policap) é um serviço de política a ser utilizado por aplicações distribuídas que utilizam o modelo CORBA de segurança. a segurança é um problema complexo e integrado. será apresentada uma pesquisa sobre a implantação de políticas de segurança em empresas da Grande Vitória-ES. O serviço de política Policap supre a carência existente na utilização de . Adicionalmente será apresentada uma pesquisa realizada pelo Módulo Security Solutions sobre segurança da informação. 2. A segurança da informação é como uma “corrente” caso exista um “elo” mais fraco a corrente pode quebrar quando sobre uma pressão maior. Dentre os trabalhos relacionados à política de segurança merecem destaque o artigo “PoliCap – Um Serviço de Política para o Modelo CORBA de Segurança” onde é mencionado o Cherubim e o Control. Portanto. desinteressado ou mal intencionado. pois depende de todos os “elos” para que funcione corretamente.1 TRABALHOS RELACIONADOS A literatura apresenta vários trabalhos sobre políticas de segurança de hardware e software nos mais variados ambientes. Apesar da consciência que os executivos das empresas têm da importância da necessidade da criação e implantação de uma Política de Segurança da Informação. (MÓDULO 2003). produto que implementa o COSBAsec e a gerência de políticas de segurança. é preciso investir e tomar medidas concretas que permitam a implantação e manutenção de uma política de segurança eficaz. Serão apresentados alguns trabalhos acadêmicos relacionados à segurança da informação.

De acordo com LEMOS. O padrão SET é basicamente dividido em duas partes: sistemas de pagamento e gerenciamento de certificados. seu funcionamento. 2003). O comércio eletrônico será uma das mais importantes maneiras de fazer negócios no futuro. . renovação e revogação) fornecendo maior grau de segurança ao (SET-F através da autenticação das partes envolvidas na transação).Diante disso. São apresentados os resultados de uma implementação e sua avaliação utilizando critérios de segurança do padrão ISO 15408. 2004). um grupo de pesquisadores da UFRGS desenvolveu um conjunto de aplicações denominado (SET-F) com o objetivo de facilitar o uso do sistema de pagamento baseado no padrão (SET) garantindo a sua compreensão e poder fornecer ao mercado do comércio eletrônico uma ferramenta de segurança a baixo custo para empresas de pequeno e médio porte. seu crescimento tem sido lento devido à problemas de segurança. O objetivo desse projeto é facilitar a utilização de um sistema para gerenciar certificados digitais (obtenção. objetivos e características bem como o gerenciamento de certificado. O grande número de processos criptográficos utilizando diversos algoritmos diferentes. a necessidade de um modelo distribuído eficiente para emissão. Preocupado com aspectos de segurança o trabalho “Certificados Digitais: Uma ferramenta desenvolvida com base no padrão SET” apresenta uma visão geral do (Secure Eletronic Transactions) SET. Dando continuidade a esse trabalho. um desastre ou descuido relacionado a segurança da informação em uma empresa pode ocasionar a paralisação total ou parcial dos ambientes tecnológicos. como (DES e RSA). entretanto ainda não é um padrão de fato devido à sua grande complexibilidade. renovação e revogação de certificados e a grande complexibilidade envolvida no desenvolvimento de soluções compatíveis com o (SET) são os principais fatores que tem inibido sua aceitação. O padrão (SET criado em 1996 por um consórcio de empresas e entidades oferece um alto grau de segurança às transações eletrônicas).18 políticas de segurança para a programação com objetos distribuídos. 2004 & SHAMIR. (JAKOBSEN. entretanto. os pesquisadores estão desenvolvendo aplicações que permitam o gerenciamento de certificados que ainda não contemplado pelo (SET-F). (WESTPHALL.

Também não se dá conta de que muitas mensagens eletrônicas que chegam ao seu correio eletrônico não são de autoria daquelas pessoas que se dizem ser. é necessária à elaboração de um plano que garanta a continuidade. Diante disso. a Internet veio agregar mais um modo de comunicação. Milhões de usuários enviam suas mensagem através do correio eletrônico e não se dão conta que estas mensagens encontram-se vulneráveis desde o momento de sua concepção pelo emissor até o momento da leitura por parte do receptor para serem capturadas e lidas por outras pessoas. Desta forma. analisando todas as questões latentes acima citadas (BULLARA. veículo de difusão de informações utilizado também para promover negócios seja usada para finalidades obscuras como espionagem industrial. É justamente essa abertura e superexposição ao mundo exterior que faz com que a Internet. o correio eletrônico que hoje é um dos principais meios de comunicação entre pessoas. autenticidade. De acordo com Bullara. legalidade e métodos de não repúdio das mensagens enviadas e recebidas através do correio eletrônico. disponibilidade. O trabalho citado mostra todos os aspectos relacionado a segurança de um dos maiores e mais importantes meios de comunicação entre pessoas na atualidade que é o correio eletrônico. o trabalho focaliza a comunicação segura entre pessoas através do correio eletrônico. 2004). pois visa garantir a continuidade das atividades necessárias à organização. 2001). O plano de contingência é muito importante.19 trazendo perda de informação e vulnerabilidade e prejuízo financeiro. A questão de mostrar tanto ao profissional de informática quanto ao público leigo em tecnologia como enviar e receber mensagens eletrônicas de forma segura foi o que motivou os autores a esta empreitada. 2005). observando a política de acesso. suas concessões e contingências. chantagens e outros tipos de crimes cometidos contra o patrimonio dessas corporações (FREIRE. . Ele apresenta uma visão do mercado em relação à segurança física e lógica da rede de computadores. com a utilização da Internet as empresas se estruturaram de forma a abrir suas portas para o mundo. integridade. roubo de informações. A comunicação é uma necessidade humana e dentro desta necessidade encontramos questões latentes como confidencialidade. De acordo com Freire. segurança do tratamento e a disponibilidade das informações em caso de sinistro (LEMOS. no final do século XX.

Firewalls agem como um portal de segurança.captura os dados que o destinatário disponibiliza ao cliente (usuário) e os guarda em uma área em disco. Em outras situações ele pode se comportar como um proxy1 servers evitando o acesso direto à Internet. existe a necessidade e preocupação das empresas em proteger informações de sua propriedade ou interesse que trafeguem dentro ou fora de sua rede corporativa.(FURG. Se o servidor proxy não dispuser dos dados requisitados. correio eletrônico. Esse sistema identifica e controla o fluxo de informações que passa por ele. 2006). segurança de senhas. Ele filtra acessos não autorizados aplicando restrições de tráfego originário do mundo exterior. produtividade. Tecnologias de segurança buscam garantir a segurança contra intrusos. pois ele certifica que toda comunicação entre a rede corporativa e a Internet esteja em conformidade com a política de segurança definida pela corporação. Na próxima vez que este site for acessado. principalmente. do faturamento dessas empresas. Esta necessidade pode ser saciada a partir da utilização correta de equipamentos e definição de regras que possam governar o uso apropriado destes equipamentos. A proteção das redes de computadores é feita por meio de firewalls.20 A necessidade de tornar o ambiente de rede seguro é vital para a manutenção da estabilidade. o web browser primeiro fará a procura no servidor proxy. O método de segurança mais efetivo é o Firewall. credibilidade e. encriptado ou redirecionado para outra rede. endereço de destino e protocolo utilizado para a comunicação. rejeitado. 1 Proxy Server ou servidor de proxy . normas para utilização de Internet. Se os dados forem encontrados neste servidor. antivírus em estações de trabalho entre outros mecanismos. o acesso será feito diretamente ao site de destino. Um firewall pode se comportar como um roteador. Esses equipamentos protegem a rede interna da invasão de intrusos originários da Internet permitindo somente a passagem de protocolos e serviços autorizados de acordo com as definições da política de segurança das empresas. pois a sobrevivência das empresas depende disso. . A proteção interna normalmente é baseada em definições de política de segurança que incluem procedimentos de auditoria interna. a transferência de dados se dará entre ele e o cliente (web browser). filtrando pacotes originários da Internet baseados na informação contida em cada datagrama através da análise de informações como endereço de origem. Atualmente. Ele verifica se o dado deve ser aceito.

A melhor regra aplicável a sistemas de firewall é o bloqueio total dessas portas mesmo que estejam bloqueadas é aconselhável a monitorar as tentativas de invasão. (FERREIRA. É igualmente feita uma análise crítica a um sistema de detecção de intrusão para Linux com a finalidade de propor uma melhoria no modelo de segurança apresentado. De modo semelhante ser-lhe-á possivel entender que procedimentos existem para prevenção geral de ataques à segurança lógica de sistemas operativos através da generalização dos métodos de prevenção enunciados. Considere os efeitos potenciais das recomendações (bloqueio de portas) antes de implementá-las. 2003) descreve o modelo de segurança lógica dos sistemas operativos Windows 2000 e Linux (Red Hat 8) bem como as respectivas vulnerabilidades e medidas de proteção associadas. É importante frisar que o bloqueio de algumas das portas especificadas pode acarretar na paralisação de serviços necessários. No entanto. 2004). Seguidamente apresenta-se uma exposição das principais vulnerabilidades encontradas nos dois sistemas operativos.21 A base para uma política de segurança adequada deve conter recomendações de filtros contra os serviços mais perigosos e explorados por invasores na tentativa de execução de um ataque para o comprometimento de ambientes. Não existindo sistemas de detecção de intrusão gratuitos para o Windows 2000 optou –se por efetuar somente o teste em Linux. Em seu trabalho “Windows 2000 e Linux: Um Estudo Comparativo no Contexto de Segurança Informática Lógica”. bem como das contramedidas propostas permitindo ao leitor generalizar os conceitos expostos para as vulnerabilidades lógicas de sistemas operativos em geral. . (FREIRE. o princípio de utilização do sistema de detecção de intrusão pode ser transposto para o Windows 2000. A política de segurança deve estar em sintonia com os serviços (portas/protocolos) que mais são explorados para tentativas de invasão. Desta forma. pretende –se fornecer ao leitor uma idéia clara do modelo de segurança lógica do Windows 2000 e do Linux. É feita inicialmente uma contextualização ao tema que incide nas áreas referidas expondo os principais aspectos de segurança lógica existentes nestes dois sistemas operativos.

bem como lhe fornecer os passos necessários para melhorar essa segurança. Com este trabalho o autor quer mostrar que segurança lógica existe no Windows 2000 e no Linux permitindo–lhe a comparação de acordo com as suas necessidades. utilizando como exemplo prático um IDS para o Linux.22 É igualmente feita uma análise à implementação de um sistema de detecção de intrusão (IDS) para demonstrar como a segurança lógica poderá ser melhorada. . Pretende-se definir a importância de sistemas de detecção de intrusão na segurança de sistemas operativos em geral. 2003). generalizando os métodos e as técnicas estudadas neste trabalho de forma a poder aplicá –los em áreas de investigação de segurança lógica semelhantes. (FERREIRA.

publicou uma norma internacional para garantir a segurança das informações nas empresas. Com a Segunda Guerra Mundial a questão da segurança ganhou uma nova dimensão na medida em que sistemas automáticos e eletro-mecânicos foram criados tanto para criptografar como para efetuar a criptoanálise e quebrar a codificação (SCHNEIER. A Associação Brasileira de Normas Técnicas (ABNT) operando em sintonia com a ISO e atenta às necessidades nacionais quanto a segurança da informação disponibilizou o projeto na versão brasileira da norma ISO para consulta pública e posterior votação e publicação. Outros povos como os egípcios e os romanos deixaram registrados na história sua preocupação com o trato de certas informações. mas relativamente pouca atenção aos ativos de informação que possuem.23 3 FUNDAMENTOS DA NORMA NBR/ISO/IEC 17799 Ao longo da história desde a mais remota Antigüidade o ser humano vem buscando controlar as informações que julga importante. premiadas pelo risco crescente de roubos e ataques a seus sistemas. nos últimos anos. 2001). Na antiga China a própria linguagem escrita era usada como uma forma de criptografia. Tal procedimento justifica-se na medida em que as empresas estão mudando seu comportamento quanto à questão da segurança da informação. Percebe-se que antes mesmo da publicação do documento oficial as empresas brasileiras estão se antecipando no sentido de preparar suas estruturas para implementação dos itens que compõem a norma. Visando minimizar esses riscos a International Standartization Organization (ISO). a informação assumiu importância vital para manutenção dos negócios marcados pela dinamicidade da economia globalizada e permanentemente on-line de tal forma que atualmente não há organização humana que não dependa da tecnologia de informações em maior ou menor grau de forma que o comprometimento do sistema de informações por problemas de segurança pode causar grandes prejuízos ou mesmo levar a organização à falência (CARUSO. Entretanto. Por outro lado compreendem que as . Tradicionalmente as organizações dedicam grande atenção para com seus ativos tangíveis físicos e financeiros. especialmente as de valor estratégico e comercial. 1995). pois somente as classes superiores podiam aprender a ler e a escrever.

Outro objetivo do CCSC era a criação de um código de segurança para os usuários das informações. (HEFFERAN. essa norma foi proposta ao ISO para homologação. . a BS7799: 1995.Código para Gerenciamento da Segurança da Informação. Ao longo de seu desenvolvimento a norma foi sendo adotada não só pela Inglaterra como também por outros países da Comunidade Britânica tal como Austrália. Uma segunda parte desse documento foi criada posteriormente e publicada em novembro de 1997 para consulta pública e avaliação. Em 1998 esse documento foi publicado como BS7799-2:1998 e depois de revisado foi publicado junto com a primeira parte em abril de 1999 como BS7799: 1999. 1998).24 normas ISO e ABNT são o resultado de um esforço internacional que consumiu anos de pesquisa e desenvolvimento para se obter um modelo de segurança eficiente e universal. África do Sul e Nova Zelândia (SOLMS. Em 1996. mas foi rejeitada (HEFFERAN. Em 1995 esse código foi revisado e publicado como uma norma britânica (BS). 1998). 2000).1 SURGIMENTO DAS NORMAS DE SEGURANÇA DA INFORMAÇÃO O esforço no qual resultaram a (ISO17799 e a Norma ABNT) remontam a 1987 quando o departamento de comércio e indústria do Reino Unido (DTI) criou um centro de segurança de informações. o CCSC (Commercial Computer Security Centre) que dentre suas atribuições tinha a tarefa de criar uma norma de segurança das informações para companhias britânicas que comercializavam produtos para segurança de TI (Tecnologia da Informação) através da criação de critérios para avaliação da segurança (SOLMS. denominado PD0003 . Em 1998 a lei britânica denominada ¿Ato de Proteção de Dados¿ recomendou a aplicação da norma na Inglaterra o que viria a ser efetivado em 1o de março de 2000. Com base nesse segundo objetivo em 1989 foi publicado a primeira versão do código de segurança. 3. 2000).

Atualmente o comitê BDD/2 do BSI/DISC está preparando a parte 2 da BS7799 para apresentação a ISO para Homologação. . pois normalmente uma norma leva até 5 anos para ser avaliada e homologada pela (ISO). Ao mesmo tempo está surgindo a Certificação de Segurança (ISO 17799) que empresas e organizações podem obter ao aplicar a norma assim como após a homologação da norma brasileira surgirá a respectiva certificação para empresas nacionais.2 OBJETIVOS E ABRANGÊNCIA O objetivo fundamental da norma ISO e da norma brasileira. 3. Os representantes dos países do primeiro mundo excetuando a Inglaterra foram contrários à homologação. nela baseada. b) Integridade: certeza da precisão da informação. (ISO/IEC 17799:2000) A (ISO/IEC 17799:2000) define segurança como a proteção contra um grande número de ameaças às informações de forma a assegurar a continuidade do negócio minimizando danos comerciais e maximizando o retorno de investimentos e oportunidades. A segurança da informação é caracterizada pela preservação dos seguintes atributos básicos: a) Confidencialidade: segurança de que a informação pode ser acessada apenas por quem tem autorização. Com a homologação diversos países incluindo o Brasil estão criando suas próprias normas nacionais de segurança de dados baseados na norma (ISO). é assegurar a continuidade e minimizar o dano empresarial prevenindo e minimizando o impacto de incidentes de segurança. mas sob votação venceu a maioria e a norma foi homologada como ISO/IEC 17799:2000 em 01 de dezembro de 2000.25 A parte 1 desse documento foi levada à (ISO) e proposta para homologação pelo mecanismo de "Fast Track" para um trâmite rápido. Em outubro de 2000 na reunião do comitê da (ISO) em Tóquio a norma foi votada e aprovada pela maioria dos representantes.

gerenciamento das operações e comunicações. desenvolvimento de sistemas e manutenção. política de segurança. descrevem os vários processos envolvidos com o trabalho de segurança e a responsabilidade sobre os mesmos. termos e definições. segurança em pessoas. Os Capítulos que compõem a norma são os seguintes: Objetivos. como por exemplo: a própria NBR ISO/IEC 17799. itens e controles. classificação e controle dos ativos de informação. de fácil entendimento que conste às referências aos documentos que serviram de base para a sua construção.1 POLÍTICA DE SEGURANÇA A elaboração de uma política de segurança representa um passo fundamental no estabelecimento de um sistema de gestão de segurança da informação eficaz. segurança ambiental e física.26 c) Disponibilidade: garantia de que os usuários autorizados tenham acesso a informação e aos recursos associados. segurança organizacional. A (ISO17799) é bem abrangente pretendendo contemplar todos os aspectos da segurança da informação.2. Nesse sentido divide-se em 12 capítulos ou partes cada qual abordando um aspecto da segurança da informação. quando necessário. Esta visa definir a linha mestra na gestão de risco e segurança da informação definindo: padrões a serem seguidos e ações a serem tomadas. controle de acesso. 3. . A norma brasileira segue a mesma estrutura de capítulos. o Estatuto da Organização e etc. a ISO17799 e de toda a ciência da Segurança da Informação. O documento da política de segurança deve ser claro. A preservação desses atributos constitui no paradigma básico da Norma Internacional para Gerenciamento da Segurança da Informação. gestão de continuidade do negócio e conformidade. a Constituição Brasileira.

autoridade e relações entre pessoas de uma organização. È de vital importância que as responsabilidades sejam claramente definidas e que a política de segurança seja um guia sobre a aplicação de regras e responsabilidades. da definição de fontes externas de informações e ajuda as quais serão utilizadas no processo de implantação da segurança da informação.2. _ Segurança de Acesso a Terceiros. . Para que haja um controle. Este macro controle é dividido nos seguintes controles: _ Infra-estrutura de Segurança da Informação.2 Segurança de acesso a terceiros O Acesso a terceiros ao ambiente deve ser controlado. Esta análise definirá os controles necessários para garantir a segurança do ambiente. por isso deve haver um consultor interno ou externo que possa ser invocado sempre que necessário.2. da definição de responsabilidades. Tais controles devem levar em conta tanto os acessos lógicos quanto físicos bem como o valor da informação que poderá ser acessada pelos usuários.27 3.2.2. principalmente após suspeitas de incidentes ou violações na segurança.2. 3. 3. _ Terceirização.1 Infra-estrutura de segurança de informação Visa a criação de uma estrutura de gerenciamento da segurança da informação.2 SEGURANÇA ORGANIZACIONAL Conjunto de responsabilidades. uma análise prévia de risco deve ser realizada.

2. 3.3 Terceirização Este controle visa ajudar a estabelecer as responsabilidades e os riscos quando parte ou todo o processo da informação é terceirizado.3 CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DA INFORMAÇÃO Embora não exista uma forma padronizada de se classificar a informação existente nas organizações.2.2. Para a classificação das informações é necessário definir um conjunto de regras e níveis de classificação. 3.4 CONTABILIZAÇÃO DOS ATIVOS Este procedimento tem por objetivo a elaboração de inventário dos ativos de informação e atribuição de responsabilidades pela sua proteção.2. Normalmente este nível não é estático podendo desta forma variar com o passar do tempo e com o modelo do ambiente.5 CLASSIFICAÇÃO DA INFORMAÇÃO A classificação da informação visa definir o seu nível de importância. Este contrato por sua vez deve permitir que os requisitos e procedimentos sejam expandidos. Este processo ajuda a evidenciar a importância ou "valor" de um determinado ativo para a organização.2. 3.28 3. 1998). Inicialmente este processo requer que ocorra a definição e a assinatura de um contrato que irá reger a interação de ambas as partes (organização e terceirizados). do ponto de vista de seu conteúdo ela costuma ser dividida em três categorias: informação pessoal. informação de segurança nacional e informação de negócio (KOVACICH. Associar um nível de segurança ao ativo facilita a determinação dos controles de segurança a serem aplicados uma vez que aplicação de controles deve ser proporcional ao valor do que se deseja proteger. Estes devem levar em consideração o nível de .

2. . 3. É indicado que todos os usuários antes de terem acesso ao ambiente passem por um treinamento completo.6 SEGURANÇA EM PESSOAS Este macro controle visa prover os recursos necessários para o gerenciamento dos fatores de segurança que envolve as atividades humanas na organização bem como o processo de treinamento e conscientização quando do uso correto da política de segurança.7 SEGURANÇA NA DEFINIÇÃO E NOS RECURSOS DE TRABALHO Este visa reduzir os riscos de segurança provenientes das atividades humanas em uma determinada organização como.8 TREINAMENTO DOS USUÁRIOS Este item tem por finalidade fornecer a todos os usuários das informações provenientes de uma organização uma visão completa das ameaças e das preocupações que a organização possui sobre a segurança da informação. Este macro controle é subdividido em: segurança na definição e nos recursos de trabalho. treinamento dos usuários respondendo a Incidentes de segurança e mau funcionamento. por exemplo: os problemas de roubo e venda de informações confidenciais.29 compartilhamento/restrição das informações e o impacto desta classificação nas atividades do ambiente 3.2. O treinamento deve capacitar os usuários a apoiarem o bom funcionamento da política de segurança. 3.2.

É indicada a utilização de mecanismos de autenticação que gerenciem a entrada e saída de pessoas e material das áreas de segurança. O quanto antes um incidente for notificado melhor ele poderá ser tratado. Para tal existe a necessidade da conscientização dos usuários quanto ao processo de notificação de incidentes.2. Para apoiar o processo de notificação. danos e o processo adotado para a sua correção são de vital importância. Normalmente o processo de registro de incidentes dá origem ao que conhecemos como "kwonledgebase" de incidentes. mesmo quando estes incidentes não passarem de simples suspeitas. pois estas informações devem ser utilizadas no processo de melhoria da política de segurança.9 RESPONDENDO A INCIDENTES DE SEGURANÇA E MAU FUNCIONAMENTO Este controle além de procurar reduzir os danos causados por falhas no ambiente visa permitir que se aprenda com as falhas já ocorridas. o mais rápido possível. . A finalidade deste controle é inibir oacesso não autorizado às áreas onde se encontram informações vitais para a organização.3 ÁREAS DE SEGURANÇA Este macro controle apresenta três subcontroles que são: as Áreas de segurança. No registro dos incidentes. A conscientização irá ajudar para que o processo de notificação de incidentes seja feito através dos meios e às pessoas corretas. Visitantes e terceiros só podem ganhar acesso às áreas específicas da organização em especial aquelas que estão dentro de perímetros de segurança quando acompanhados de um funcionário responsável e com a devida autorização. A proteção aplicadaa uma determinada área deve ser proporcional aos riscos identificados pela análise de riscos. 3. os equipamentos de segurança e controles gerais e todos relacionados a aspectos físicos da segurança de informação. bem como no processo de resposta a incidentes. informações como tempo de paralisação das atividades.30 3. custo. deve haver um sistema formal de notificação de incidentes bem como de resposta aos incidentes.

bebidas e fumo deve ser tratado pela política de segurança da organização a fim de inibir a sua ocorrência nas áreas de processamento. Devido à questão de segurança e gerenciamento somente pessoas previamente autorizadas podem realizar manutenções e instalações nos equipamentos de processamento da informação pelo mesmo motivo deve existir um registro completo de todos os processos de manutenção. Quando houver o uso de mecanismos que visem evitar ou minimizar este problema os mesmos devem ser periódicamente testados e submetidos a manutenções preventivas visando com isto garantir o seu perfeito funcionamento. alimentos e fumo. Um problema freqüente e tratado por este controle é o acesso não autorizado aos dispositivos de processamentos. Outro fator de risco encontrado em áreas de processamento é o consumo de bebidas.3. Para tal. Os cabeamento da rede elétrica e da rede de dados devem ser protegidos contra danos e interceptações. Sempre que possível deve se utilizar passagens subterrâneas evitando desta maneira passá-los de forma aérea e por vias públicas. Para inibir este tipo de problema devem ser empregados mecanismos físicos que evitem o acesso desnecessário à área de processamento das informações. Tal padrão de comportamento tende a gerar vários tipos de danos aos equipamentos. . Problemas gerados pela falta ou alteração da tensão da corrente elétrica também devem ser levados em consideração. devem ser adotados procedimentos que busquem a proteção física contra ameaças e perigos existente no próprio ambiente. portanto o consumo de alimentos.31 3.1 EQUIPAMENTOS DE SEGURANÇA Este controle visa prover dos mecanismos necessários para evitar a paralisação das atividades da organização ocasionada por danos em seus equipamentos. Equipamentos só podem ser retirados da organização ou utilizados fora das instalações com uma autorização explicita fornecida pela administração da organização. uma vez que informações importantes podem ser expostas por descuido dos usuários.

_ Segurança e Manuseio de Mídias. Os terminais de trabalho devem ser mantidos desconectados quando não estiverem em uso ou protegidos por algum sistema de senha ou tranca física. _ Planejamento e Aceitação dos Sistemas. Terminais de trabalho que forem abandonados por um determinado período de tempo devem realizar a desconexão automática do usuário conectado.3 GERENCIAMENTO DE OPERAÇÕES E COMUNICAÇÕES Este visa prover os recursos necessários para facilitar o processo de gerenciamento dos mecanismos de troca de informações dentro e fora da organização e é composto dos seguintes subcontroles: _ Procedimentos e Responsabilidades Operacionais.3.32 3.3.4 CONTROLE DE ACESSO Este macro controle pode ser decomposto nos seguintes controles de segundo nível: _ Requisitos do negócio para controle de acesso.3.2 CONTROLES GERAIS Estes objetivam a redução da possibilidade de divulgação e roubo de informações que pertencem à organização. . _ Gerência de acesso dos usuários. _ Gerência de Rede. _ Housekeeping. 3. 3. _ Proteção contra softwares maliciosos. Um exemplo de medida a ser adotada é a política da "tela limpa e mesa limpa". Mesmo sendo simples esta política evita que usuários não autorizados tenham acesso às informações que estão sendo manipuladas em um determinado momento no ambiente. _ Troca de Informações e Softwares.

na segurança do sistema de arquivo e na segurança dos processos de Desenvolvimento e Suporte. nos controles de criptografia. _ Computação móvel e trabalho remoto. de segurança nos sistemas de aplicação. _ Controle de Acesso à rede. Este controle visa garantir a continuidade da operação do ambiente mesmo em caso de falha parcial. 3. . _ Controle de Acesso às aplicações. Por outro lado um trabalho amplo deve ser realizado para que o tempo de paralisação do ambiente em caso de alguma falha seja tido como aceitável para o negócio da organização.5 DESENVOLVIMENTO DE SEGURANÇA DE SISTEMAS Este controle fornece os critérios necessários para o desenvolvimento de aplicativos mais consistentes com a norma de segurança da organização e pode ser subdividido nos subcontroles de requisitos de segurança de sistemas. _ Controle de Acesso ao Sistema Operacional.6 GESTÃO DA CONTINUIDADE DO NEGÓCIO Este controle se relaciona com os mecanismos necessários para o perfeito funcionamento do ambiente mesmo quando parte deste apresenta alguma falha. _ Notificação do uso e acesso ao sistema. 3. Um dos objetivos destes controles é inibir os problemas de segurança gerados pelo acesso lógico não autorizado de usuários às informações da organização. Independentemente do tipo e do mecanismo de acesso deve haver um processo formal de gerenciamento dos direitos que os usuários possuem quando acessam o ambiente. Alcançar o que é chamado de contingência total.3.33 _ Responsabilidade dos usuários. não haver paralisação do ambiente em nenhum momento de sua operação é quase impossível. ou seja.3.

O plano de contingência deve gerar uma documentação que detalhe os objetivos e prioridades deste controle dentro da organização. a implementação dos procedimentos. consistindo num desafio para as empresas. 3. a documentação do plano. A ISO17799 cobre os mais diversos tópicos da área de segurança possuindo mais de 100 controles que devem ser atendidos para garantir a segurança das informações de uma empresa de forma que a obtenção da certificação pode ser um processo demorado e muito trabalhoso. quando e como deve ser realizada a revisão da política de segurança e como deve ocorrer o processo de auditoria. O nível de documentação e o tempo de indisponibilidade devem estar consistentes com o nível de exigência existente no ambiente. O plano de contingência deve abranger toda a organização e levar em conta os riscos pelos quais o ambiente está exposto assim como o impacto que uma paralisação pode causar no mesmo. Devido ao caráter mutante dos ambientes das organizações os planos de continuidade devem ser constantemente testados e atualizados bem como a identificação dos riscos e dos impactos devem ser feitos mediante ao uso de uma ferramenta. o processo de treinamento. Em contrapartida a certificação é uma forma bastante clara de mostrar à sociedade que a empresa dá a segurança de suas informações e de seus clientes a importância que merecem de . os testes de conformidade e as atualizações.7 CONFORMIDADE Este macro controle abrange os aspectos legais relacionados ao uso de determinados softwares. Este controle visa inibir violações legais no uso e manuseio da informação independentemente de seu tipo dentro da organização. como a análise de risco de segurança. Um plano de continuidade pode ser dividido em cinco partes: a identificação dos procedimentos.3.34 A definição deste tempo "aceitável" é dependente do modelo do ambiente e deve ser determinado durante a análise de risco do mesmo.

diminuição dos custos operacionais e expansão no seu segmento de mercado (HAWKINS. 1995). As pessoas estão cada vez mais sentindo a necessidade de se interconectar e sempre na expectativa de suprir a necessidade de informação. 3. Maximus Security). 1997). tecnológicos. Eles dizem: então não se preocupe! Isso é uma verdade? Não. A verdade é: A Internet não é segura nem mesmo moderadamente (ANÔNIMO 2000: pág. mas também como parte do marketing de suas imagens junto ao público e como fator mais um diferencial de competitividade no mercado. Estamos atravessando a era da informação. As pessoas de marketing estão mentindo. educacionais e econômicos têm sofrido grandes mudanças nesta virada de século com o surgimento de novas atividades e ao mesmo tempo em que outras desaparecem ou são profundamente transformadas. .4 SITUAÇÃO ATUAL NAS EMPRESAS Os cenários sociais. O crescimento das redes de computadores e o advento da Internet trouxeram grande demanda pela conectividade. um período jamais visto desde a criação da escrita por nossos ancestrais. As tecnologias de informação e comunicação vêm tomando espaço cada vez maior na sociedade alterando de forma significativa os meios de produção e disseminação do conhecimento humano (HUGHES. Há uma interessante passagem de autor anônimo de onde se pode partir para discutir essa questão: A Internet é segura. O computador presente nas empresas não significa necessariamente melhoria na qualidade em relação à produtividade.35 tal forma que se espera que em poucos anos todas as grandes empresas terão aderido a norma e obtido suas certificações como forma de não só assegurar sua sobrevivência. Ou é isso ou eles não têm absolutamente nenhuma idéia do que estão falando. No presente trabalho pode-se perceber que por mais que se trabalhe com esse objetivo dificilmente se conseguirá cobrir todas as lacunas que esta área proporciona. 05.

Estas . Cada dia mais os segmentos da economia estão se voltando para formas de disponibilização online das informações. No setor da iniciativa privada e área publica não é diferente todos estão preparando as suas estruturas para uma futura disponibilização e acesso da informação através da grande rede mundial de computadores. Todos estes itens ficaram consagrados por serem burocráticos. tal como a UNICAMP e a UFRGS. Nos demais paises notamos uma preocupação maior por parte apenas dos ingleses e americanos. Estes movimentos são ainda muito isolados já que o potencial que as redes possuem de disponibilização de serviços. Existem grupos de estudos na área acadêmica que enfocam os assuntos de segurança em informática. geladeiras que possuem conexão com os supermercados e através da internet realizam as compras online sem a interferência do proprietário e os SmartCards2 que já podem ser recarregados com valores financeiros sem a necessidade do deslocamento até o banco. Nos Estados Unidos estão surgindo varias empresas que oferecem serviços de implantação de procedimentos de segurança e elas estão se proliferando em uma velocidade muito alta. Esta revolução traz os produtos e serviços para bem próximo de nossos lares e escritórios.36 A cada momento somos surpreendidos por novidades tecnológicas que facilitam em muito a vida tais como recebimento de informações através dos celulares (tecnologia Wap1). No Brasil poucas empresas e instituições estão valorizando este mecanismo de comunicação de forma adequada. Agora poderiam ser automatizados através das redes e principalmente no sentido de buscar a lucratividade e consolidação das transações envolvendo a informação de forma segura (HELVECIO. tais como troca de informações entre indivíduos da mesma empresa ou entre empresas (Bussiness to Bussiness). acesso interno ou externo à base de dados e conhecimento e serviços de atendimento online aos clientes de maior porte. Na América Latina não é diferente do contexto encontrado no Brasil. Há uma carência enorme de grupos de estudos para viabilizar de forma precisa a informação dentro dos ambientes corporativos. 1999). Na Inglaterra como foi observado anteriormente neste documento foi elaborado um estudo chamado de (BS-77993) no qual podemos constatar uma preocupação da segurança da informação para empresas. Esta norma possui um detalhamento muito interessante de como a empresa deve se colocar no ambiente da internet.

recursos e periféricos se diferenciam entre as demais máquinas. A segurança das informações passou a ser uma área crítica. trocar. coletar. Na época dos mainframes quando ainda não existia a comunicação entre as redes o objetivo central era a proteção dos dados dentro do CPD (Centro de Processamento de Dados) e a sua utilização em terminais sem capacidade de processamento e armazenamento local era a época da segurança de dados. No momento atual brasileiro todos os acontecimentos na área de segurança não têm impactado em mudanças ou transformações profundas na área de segurança da informação corporativa. Os riscos são diferentes nas diversas arquiteturas de computadores. Com a evolução das gerações da informática o surgimento da microinformática (IBM-PC4). eles eram praticamente confinados ao ambiente interno e estavam protegidos de qualquer acesso externo. as empresas possuem um parque de informática muito híbrido com equipamentos cujas velocidades. a facilidade na aquisição de computadores pessoais e o advento dessas redes de computadores tornou-se possível uma integração das estruturas através das redes. 2001). um compartilhamento globalizado dos recursos (networking) e das informações (internetworking). solicitar. Antigamente nas décadas de 50 até 70 a segurança das informações e dos sistemas de computação de uma instituição não era muito preocupantes devido ao limitado acesso que se tinha a esses recursos. manipular um de seus principais patrimônios: as informações que deverão circular na instituição. de redes e ainda por cima com sistemas operacionais diferentes . Hoje os ambientes são heterogêneos. Com as discussões iniciais dos projetos internacionais e até mesmo os nacionais estão surgindo dentro destas empresas uma preocupação maior das pessoas envolvidas no sentido de como e quais serão as diretrizes de segurança para se alcançar. Em relação aos sistemas. acessar. espaços de armazenamento.37 empresas estão sendo criadas com o foco de adequar corporações em relação à segurança da informação. Com o crescimento do uso da informática e telecomunicações dentro das corporações e sua integração com os usuários dessas facilidades mudou-se o paradigma de segurança. pois quanto maior a facilidade de acessá-las maior a probabilidade de usuários externos compartilhares também desse acesso (NORTHCUTT.

mas da informação armazenada em lugares distantes e em várias mídias desde Compact Disc até meios magnéticos tais como discos rígidos redundantes e fitas com alta capacidade de armazenamento. E as empresas já pensam neste assunto com uma maior seriedade. A necessidade de segurança para a proteção destes dados organizacionais exige um instrumento que garanta a sua integridade. As empresas espalhadas por todo o Brasil começaram a se preocupar com a importância da facilitação e disponibilização de sua estrutura através das intranets. Os ambientes corporativos estão se tornando extremamente complexos integrando vários sistemas operacionais o que dificulta ainda mais o planejamento por parte dos administradores de redes. extranets e internet. 1997). aumentando a disponibilidade dos sistemas e protegendo as informações contra qualquer tipo de uso indevido. pois coloca a informática sob controle evitando perda de produtividade. Hoje vivemos um período de grandes avanços tecnológicos principalmente nas áreas de telecomunicações e transporte de informações entre as intranets. Existem novas ameaças e as vulnerabilidades estão sempre aumentando. extranets e internet. Começa a despertar uma conscientização em nível de segurança das informações em todos os lugares onde a informática está presente. Dependemos não somente do computador local. leva as pessoas a exigir uma forma mais segura e adequada para acessar a informação. A democratização da informação e quais os critérios para a sua utilização se tornaram questão de sobrevivência para estas empresas (PFLEEGER. O fácil acesso à Internet tanto na empresa quanto no próprio domicilio. As informações geradas internamente precisam de tratamento muito cuidadoso antes de ser disponibilizadas. Já no caso das particulares a disponibilização de serviços de rede primando pela segurança está sendo encarada como um diferencial no sentido de ser um atrativo a mais para novos clientes até mesmo para os clientes fiéis.38 dentro do mesmo local. No âmbito das empresas públicas os recursos são mais difíceis e demorados. A definição e adoção de uma política de segurança de rede tornam-se fundamental. .

ou seja. Os benefícios evidentes são: reduzir os riscos com vazamentos. Neste contexto custo significa incluir perdas expressadas em moeda corrente real. Esta política de segurança visa também aumentar a produtividade dos usuários em um ambiente mais organizado e com regras O uso com maior intensidade da internet e com maior freqüência nas empresas aumentou a vulnerabilidade de suas próprias redes internas com a abertura de novas portas para a quebra de segurança. levantamento de dificuldades em uma implementação de medidas de proteção nas quais protegerão de maneira efetiva os recursos importantes e como será feito o processo contínuo de revisão com a finalidade de melhorar cada vez mais e estar sempre em busca de identificar supostas fraquezas. confiança e outras medidas menos óbvias. dificultará os ataques e a perda da integridade dessas informações. roubo de informações e diversos outros problemas que possam comprometer os princípios básicos que norteiam a segurança de redes citadas acima. qual a possibilidade real dessas ameaças.39 As premissas básicas em relação à segurança relacionadas ao acesso das informações são: confidencialidade. Existe um velho axioma em segurança que diz: O custo de se proteger contra uma ameaça deve ser menor que o custo da recuperação se a ameaça o atingir (DAVIS. A partir daí buscar-se-á a elaboração de uma política de segurança de redes adequada à natureza das organizações. uso indevido. O primeiro passo na busca de uma solução precisa em relação ao tema será a identificação do que realmente se deve proteger. Com a integração de todos os serviços e sua disponibilização a empresa poderá se tornar foco de tentativas de rompimento da segurança interna. A apresentação dos serviços que serão fornecidos. a facilidade de uso. o estabelecimento de uma política interna na qual todos estejam envolvidos. . sabotagem. o custo da segurança versus o risco da perda serão os fatores mais importantes nesta proposta de pesquisa. integridade e disponibilidade. erros. fraudes. de quem se está tentando proteger. Várias portas poderão ficar abertas caso não haja a preocupação constante com a política de proteção a ser implementada. 1997). As decisões que o administrador tomará vão determinar a vulnerabilidade na rede. O pré-estabelecimento com a implantação de regras e rotinas. reputação da empresa.

5 O VERDADEIRO VALOR DAS EMPRESAS CERTIFICADAS Qual o verdadeiro valor de uma certificação em segurança da informação? O quanto vale uma certificação (BS 7799) e agora (ISO 27001) para empresas verdadeiramente preocupadas com seus ativos de informação? . manutenção de toda a estrutura de forma a não prejudicar as pessoas envolvidas no ambiente. privacidade. de que forma serão disseminadas e especificar através de quais mecanismos podem ser alcançadas. guias de orientação para compra de tecnologias computacionais que especifiquem os requisitos ou características que os produtos deverão possuir correlacionados com segurança e um meio pelo qual os usuários dessa estrutura poderão relatar problemas e falhas (SCHNEIER. Os componentes a serem avaliados são: autenticação. O país deverá nos próximos anos trabalhar muito com este tema em busca de soluções viáveis e que garantam as premissas básicas de segurança Políticas de segurança para as informações deverão ser colocadas em prática para que as empresas possam realmente confirmar o seu importantíssimo papel na sociedade capitalista. Uma vez feito um estudo aprofundado sobre estes componentes deve haver um plano de contingência que deverá estar disponível. parte lógica. 2001). combate a vírus. Outro propósito será determinar um ponto de referência a partir do qual se possa configurar e auditar os sistemas computacionais e as redes envolvidas para que sejam adequados aos requisitos de segurança. responsabilidades. parte física. procedimentos de backup e recuperação. 3.40 Uma política de segurança no ambiente corporativo será a expressão das regras pelas quais poderá ser fornecido o acesso aos recursos tecnológicos da empresa. relatórios de violações. acesso. O principal propósito será estabelecer tais regras. A tendência de mercado neste momento mostra uma crescente preocupação em relação à segurança no contexto da informática. monitoração e análise de dados. testado e atualizado de forma a assegurar o funcionamento da estrutura da rede nas situações de emergência ou desastre.

análise de riscos. Todos estes esforços geralmente buscam um melhor reconhecimento no mercado e confiança dos atuais e futuros clientes. Internet. então precisa se mais de: padronização de processos e documentação. e-mail. Certamente existem pessoas que preferem trabalhar com instituições comprovadamente preocupadas com a segurança de suas informações. uso de equipamentos. sistema de reporte estruturado e de conhecimento por todos os colaboradores (ou usuários. como prefere a ISO 17799:2005). buscando a tão sonhada cultura de segurança.41 Em primeiro lugar o nível de comprometimento e investimentos (segurança não é custo e agrega valor sim) requer esforços bem direcionados de dirigentes e colaboradores de toda empresa. recursos humanos e dependendo da estrutura da empresa outras poderão ser necessárias. conformidade com as normas. Cultura que definimos como a percepção da importância da segurança de nossas informações. Este é o ponto que queremos chegar: cultura de segurança. indicadores de performance e planos de divulgação e conscientização. planos de continuidade e recuperação de desastres. regulamentos e políticas de segurança. análise de impactos. Até aqui nenhuma novidade. uso de portáteis. Preocupação que deve ser de todos que fazem parte da empresa sem exceções. classificação da informação. Em segundo lugar (o que também não é novidade) é necessário desenvolver diversos projetos de segurança. conformidade com as normas internacionais. estabelecer diretrizes e procedimentos. Estamos falando em certificação. mapear processos. por exemplo. que serão à base da nossa gestão em segurança: controle de acesso. normas. que possui certificação e reconhecimento mundial em segurança da informação? Não temos dados estatísticos nem informações oficiais e íntegras para afirmar que não. O verdadeiro valor e os principais benefícios de uma certificação bem sucedida dizem respeito à criação de uma verdadeira cultura de segurança. auditorias periódicas. Mas será que nossos clientes efetivamente percebem a importância e o valor desta certificação? Podemos afirmar que as pessoas preferem ser clientes de um Banco. Vamos destacar as políticas de segurança. gestores e demais profissionais de segurança já sabem disto. O maior ganho é a percepção dos colaboradores em relação à . privacidade de dados. Um pensamento sempre presente nos dirigentes diz respeito ao crescimento sustentado Com uma certificação e excelência em determinada área de gestão.

42 importância de preservar os ativos de informação. Com o conhecimento de que as informações são cada vez mais vitais para os processos de negócios e sobrevivência das organizações. Entende-se que um projeto de segurança além de definir as tecnologias a serem utilizadas deve contemplar também a definição dos procedimentos para que a solução seja realmente efetiva. As normas e procedimentos que refletem as diretrizes das empresas no item segurança tais como definições de formas de conexões. políticas de utilização de senhas. A política de segurança norteará todo o sistema de segurança de acesso à rede. procedimentos para situações de contingência. Existe a necessidade de monitorar permanentemente as soluções de segurança definidas. Por se tratar de uma definição “política” não existe um produto pronto e que seja facilmente encontrado no mercado tendo de ser desenvolvido em conjunto com a necessidade de cada empresa. escopo de responsabilidade dos usuários e administradores. procedimentos operacionais. Sendo a única forma de evitar surpresas . A monitoração da solução de segurança de acesso à rede não tem garantia eterna. O resultado desta analise será um produto focando as características de disponibilidade da informação. dar o tratamento adequado a dados sigilosos. e que os ativos de informação se configuram como os mais valiosos dos ambientes corporativos é que podemos avaliar o retorno dos investimentos e que a certificação tem muito valor sim. O verdadeiro valor está na nossa própria casa e no quanto as pessoas irão trabalhar para preservar nossos maiores ativos.6 CONSIDERAÇÕES A segurança eletrônica esta cada vez mais ocupando uma das primeiras posições em prioridades de investimento das empresas. procedimentos de recuperação da rede em caso de violações e as penalidades a serem aplicadas. 3. garantir a segurança da empresa e das pessoas que trabalham nela. Estas soluções são seguras apenas enquanto não são violadas. Toda esta energia desprendida não objetiva apenas um certificado e reconhecimento por profissionais de segurança e demais organizações sejam elas concorrentes ou não.

Outra forma de atuação nesta área será a contemplação de planos de atendimentos emergenciais diante de ataques de hackers. crackers e outros agentes externos ou internos. Contemplando o aprimoramento das soluções de segurança (política e arquitetura) através do acompanhamento de casos sobre problemas de segurança já ocorridos. Determinando metodologias eficientes para rastrear evidências e apresentando um plano de ação imediata para intervenção e bloqueio da vulnerabilidade exposta. evitando que os mesmos ocorram novamente. O produto tem que ser criado de forma a se adequar a esta necessidade através do qual determina os procedimentos necessários para a monitoração contínua e em tempo real da segurança. Para empresas que já implantaram uma norma ou solução de segurança de rede a realização de testes coordenados para verificar os pontos vulneráveis eventualmente existentes sempre será necessária.43 quase sempre desagradáveis. do fornecedor ou de qualquer pessoa que faça parte deste universo independente de onde estiver de preservar a imagem da empresa perante o mercado e para finalizar de nada adianta saber dos itens citados na ISO se não conhecer quais são as ameaças à segurança da informação. Estes testes simulam a ação de um invasor (interno ou externo) dotado de grande conhecimento e recursos. Após os testes sua empresa tem um diagnóstico preciso com as indicações de melhorias a serem adotadas. . A necessidade de organizar a segurança da informação no ambiente corporativo de forma que estas informações somente serão acessadas pelos respectivos interessados e uma ampla facilidade de consulta buscando sempre o conforto do cliente.

Porém a maioria das empresas ainda não encontrou o caminho certo para investir em segurança. Conferência Anual de Segurança no Infocosmo a partir de 2005 a informação seria o ativo mais importante para as empresas e para isso cuidar da infra-estrutura física e virtual deveria ser tópico primordial nos processos de negócios das companhias.44 4 AMEAÇAS À SEGURANÇA DA INFORMAÇÃO A segurança sempre foi encarada sob o ponto de vista tecnológico. (ISTF. Há muita controvérsia em relação à palavra hacker.1 HACKERS A imagem produzida no senso comum para a figura do hacker é a do jovem que passa o dia inteiro na frente de um computador. Neste capítulo. O conhecimento das ferramentas que acionam e regem sistemas e programas podem ser usados para democratizar informações ou para atos criminosos. Passados mais de quarenta anos após o surgimento do computador pessoal e da Internet o sentido da palavra hacker mudou e hoje ela é usada nos noticiários para definir invasores de sistemas alheios e . Segundo dados do Gartner Group que realiza a 2a. Uma ameaça consiste em uma possível violação da segurança de um sistema. As atividades possíveis através do domínio da ciência da computação vão desde pequenas invasões em páginas da Internet sem maiores conseqüências até desvio de grandes quantias de dinheiro em contas bancárias. 2005). Essa visão não está longe da realidade. 4. mas essa estratégia precisa ser contemplada como um problema empresarial. Por outro lado o domínio da máquina pode promover a divulgação do conhecimento que não interessa a grupos econômicos e governos ditatoriais. No entanto a definição maior do termo surge do efeito que essas atividades podem gerar. Na sua origem nos anos 60 era usada para designar as pessoas que se interessavam em programar computadores. 2002). (HACKERS. serão abordados alguns tipos de ameaças e ataques mais frequentes que comprometem as informações das empresas. conhecedor dos segredos da informática e dos caminhos nas conexões via Internet.

Mas essa classificação também gera uma confusão de sentidos.2 HACKERS ROMÂNTICOS Entre a comunidade hacker mundial há os que propagam uma ideologia e uma ética própria que remontam o romantismo da origem do termo no final dos anos 60. Ele divide a categoria em duas vertentes: os libertários hackers e os contraventores crakers que buscam senhas bancárias e dados sigilosos de empresas. A palavra cracker vem do verbo em inglês "to crack" significando aqui quebrar códigos de segurança. a disseminação de vírus por computador e gostam de divulgar seus codinomes.45 até autores de crimes eletrônicos para desespero dos hackers originais. muitas vezes para promover a livre informação é preciso "crakear" fazendo do legítimo hacker também um cracker. Há até a tentativa de classificar os hackers como pessoas que promovem a liberdade de expressão e de informações e os crackers como causadores de prejuízo. O filósofo finlandês (HIMANEN. Outros que também se intitulam hackers promovem invasões. por Linus Torvalds em 1991 que tem o código-fonte aberto e pode ser adquirido livremente com os aplicativos disponíveis na Internet e a criação do formato MP3 e do programa Napster para troca de músicas através da Internet. 2001) que é professor na Universidade de Helsinque e de Berkeley na Califórnia enumera várias atuações significativas de hackers que revolucionaram o mundo digital. (HIMANEN. 4. 2001) defende em seu livro A Ética dos Hackers e o espírito da era da informação que os legítimos hackers lutam pela liberdade de expressão e pela socialização do conhecimento. Para o filósofo os hackers também foram importantes para garantir a liberdade de expressão na Guerra de Kosovo divulgando na Internet informações de rádios censuradas e levando informações para a China atuando contra a censura oficial. Os hackers da velha guarda defendiam a categoria e um código de ética. Entre elas estão: a criação do sistema Linux. São os ecos da contracultura de . Mas.

No Brasil há vários sites que promovem aulas de linguagem de computadores (Java. É a fase mais relevante para o invasor de sistemas para que obtenha êxito em uma tentativa de intrusão _ Varredura: Processo pelo qual o invasor depois de escolhido o alvo passa a verificar todas as portas e "janelas" a procura de sistemas ativos e alcançáveis. Pode-se definir a varredura de . As primeiras lições são as brincadeiras de invadir páginas e sistemas de empresas que contam pontos no currículo dessa espécie de hacker. 4. Essa geração criou a revolução digital e os remanescentes que não se alinharam com as grandes empresas como a Microsoft. O conhecimento adquirido acaba sendo usado profissionalmente com boa remuneração.3 HACKERS PERIGOSOS Existem várias formas de testar sistemas de segurança e provar o talento de hackers com más intenções. Flash e etc. criaram a ideologia hacker. 2000) afirmam que os crackers utilizam técnicas para a realização do levantamento de informações e seguem normalmente uma seqüência de passos. Independente da definição utilizada a quantidade de redes e sites invadidos tem aumentado exponencialmente nos últimos anos. Esta lei de mercado cibernético também vale para as grandes empresas que fabricam programas antivírus e se beneficiam da imensa quantidade de novos vírus produzidos mensalmente em escala mundial. (MC CLURE et al.) para invadir e danificar outros sites e salas de bate-bapo para troca de informações.46 uma geração acostumada a protestar. É uma boa forma de propagar os perigos de um sistema sem segurança e de incentivar as invasões para se criar à necessidade do produto. A absorção dos hackers pelo mercado de trabalho na área de segurança é um caminho para os que se destacam. até promove campeonato entre hackers. Alguns desses passos são descritos de maneira sintética abaixo: _ Footprint perfil: Nesse passo inicial o invasor procura coletar o máximo de informações sobre o alvo a ser atingido. Há um grande mercado de serviços de empresas que vendem a proteção dos sistemas de computadores e no caso da Sans.

_ Ping of Death (Ping da morte). Nesse tipo de ataque o invasor utiliza programas com dicionários de palavras já conhecidas e suas combinações. uma a uma). Denial of Service (Negação de serviço): Ele consiste em enviar um pacote IP com tamanho maior que o máximo permitido (65535 bytes) para a máquina que se deseja atacar. por exemplo. Praticamente todas as plataformas eram afetadas por este ataque e todas as que não tiveram correções de segurança instaladas ainda o são. Os principais meios de ataque são: _ Password cracking ou quebra de senha: Atividade em que o cracker tenta descobrir as senhas de acesso de um usuário capturado pelo processo de sniffing. Este ataque recebeu o nome de Ping of Death . algumas reinicializam. Existem vários tipos de ataque que utilizados sozinhos ou em conjunto podem invadir um sistema de redes. _ Enumeração: Se o cracker já tiver encontrado alguma vulnerabilidade conhecida pelos passos anteriores inicia então o processo pelo qual tentará com a ajuda dos dados já obtidos nos passos anteriores identificar recursos e compartilhamento de redes mal protegidas. O uso da password cracker pode ser legítimo quando administradores de segurança quiserem detectar senhas fracas e substituí-las para melhorar a segurança do sistema. se respectivos servidores encontram –se em “Load Balance”. serviços ativos através de scanners de portas como também as características especiais de uma topologia como. O pacote é enviado na forma de fragmentos (a razão é que nenhum tipo de rede permite o tráfego de pacotes deste tamanho) e quando a máquina destino tenta montar estes fragmentos. outras abortam e mostram mensagens no console.47 portas como um tipo de ataque que envia solicitações a uma faixa de portas do servidor com o objetivo de encontrar portas ativas para no próximo passo explorar as vulnerabilidades conhecidas desse serviço. inúmeras situações podem ocorrer: a maioria das máquinas trava. Uma senha que utilize uma palavra em português ou inglês com uma criptografia fraca não deverá ser um alvo difícil para esse tipo de programa. etc. Para não chamar a atenção o cracker pode efetuar essa varredura lentamente utilizando várias ferramentas. Quando a senha está criptografada pode usar um algoritmo ou a chamada força bruta. Com a velocidade atual dos computadores um programa desse tipo tem condições de efetuar milhares de tentativas em pouco tempo. (uma técnica de criptoanálise onde se tenta toda a possibilidade possível. Pode também enumerar roteadores ou ainda a identificar sistemas de “Firewalls”. por exemplo.

como no envio comum de cartas o endereço do remetente pode ser falso. O protocolo utilizado na Internet (TCP / IP) possui em seu corpo o endereço de origem e de destino. Supõe-se que somente a máquina que tenha o endereço contido no pacote receba-o.48 porque as primeiras ocorrências deste ataque foram a partir do programa Ping. Uma variante do Denial of Service são os temidos (DDOS) (Distributed Denial of Service) que é um tipo de ataque complexo e que não possui soluções fáceis. São muitas as dificuldades em se encontrar um atacante na Internet. Mas. A RFC 2828 afirma que este tipo de ataque só causa parada ou lentidão excessiva e não possui a finalidade de invadir uma rede ou roubar informações de dentro dela e sim de parar o funcionamento da rede. os nomes e as senhas dos usuários são passadas através da rede em claro. _ Sniffing: Definido pela (RFC 2828) como sendo o ato de escutar passivamente os dados de uma rede a procura de senhas de acesso. Desta forma o computador X vai aceitar seus comandos tranqüilamente sem nada perceber. _ Spoofing Ttipo de ataque que usa o disfarce. Não é difícil. [Cross. O cabeçalho do pacote contém o endereço da máquina destino. Diz-se que um computador está em modo promíscuo quando o mesmo captura todos os pacotes. Em um ambiente de rede normal. independentemente de serem ou não destinados a ele. Muitas comunicações entre computadores na Internet se baseiam em “parceiros” confiáveis. pois exploram uma falha na tecnologia básica da comunicação da Internet. entretanto qualquer pacote IP com mais de 65535 (pacote inválido) provoca o mesmo efeito. Este tipo de ataque só pode ser eficazmente prevenido através de um controle apurado de todos os computadores da rede local que compartilham o mesmo meio físico ou através de uma comunicação confiável baseada em aplicativos de criptografia. modificado através de . O hacker então se disfarça dizendo para o computador X que “ele” é o computador Y. Um computador X pode manter uma comunicação com um computador Y de forma que não seja necessária a constante verificação de autenticidade entre eles. portanto um intruso utilizando uma máquina com interface de rede em modo promíscuo obter qualquer senha inclusive a do administrador usando um sniffer. ou seja. 2000] complementa definindo-os como muito difíceis de prevenir. texto não criptografado. O padrão Ethernet envia um pacote para todas as máquinas em um mesmo segmento.

. alguns provedores de acesso a Internet não possuem ou não mantém o tempo suficiente dos arquivos de logs das conexões que proveu e os crackers experientes alteram os arquivos de log das vítimas escondendo as evidências de seus crimes. 2001) acrescenta outras dificuldades como a falta de informações e arquivos de longo acesso ao sistema. feito a partir de um kit de criação de vírus que se aproveitou da onda de medo em torno do bioterrorismo no mês de (Outubro / 2001). Como exemplo pode – se citar co vírus Antraz. Vários fatores contribuíram para esse aumento dentre os quais pode – se citar a explosão do uso da Internet devido à facilidade de se trocar informações e experiências para construção e programação dos vírus e o surgimento de kits para fabricar vírus. Para os usuários em geral. Era um vírus de boot (atacava o setor de inicialização do disco rígido e se propagava através de um disquete de boot infectado). os atacantes podem usufruir de uma certa "proteção" devido a falta de ajuda internacional para perseguir o cracker. qualquer tipo de código malicioso que apague os dados ou atrapalhe o funcionamento dos computadores é chamado de vírus. Ou seja. Atualmente existem ferramentas disponíveis gratuitamente na Internet que fabricam vírus e o usuário não precisa nem saber programar para construir um vírus.49 spoofing. Assim que são executados disparam o código aliciosamente lterado a fim de causar modificações indevidas no processamento normal do sistema em que este se encontra causando (ou não) danos de leves a irreparáveis. como não existem barreiras geográficas.4 VÍRUS São pequenos segmentos de códigos programados ormalmente com más intenções ue têm a característica de se agregar ao código de outros programas. (MORRIS. Atualmente o número de vírus tem crescido diariamente. administrativas e políticas na Internet pode ser difícil conseguir cooperação de outros países (que não foram alvos do ataque) para traçar a origem do mesmo. Segundo as empresas fabricantes de softwares antivírus Symantec e McAfee o primeiro vírus de computador conhecido surgiu no ano de (1986) e era chamado Brain. Não causou grandes danos por erros cometidos pelo seu criador devido à falta de experiênca com programação (MÓDULO 2004). Além disso. 4.

Br/stats/incidentes. Acesso em: 27 Jul 2006 Figura 2 . gastos com reconfigurações de servidores com desinfecção dos servidores e das estações de trabalho.Br -Abril/Junho de 2006. Abaixo as estatísticas dos gráficos da Figura 1 e Figura 2 comprovam a quantidade de Incidentes (ataques.50 Essa quantidade enorme de vírus atualmente existente provoca grande perda financeira alem de causar grandes problemas à imagem das empresas afetadas. entre outras rotinas que ocasionaram perda de tempo produtivo na empresa.Cert. treinamento para remoção dos vírus. Http: //www. Acesso em: 27 Jul 2006. (Anexo C).Incidentes Reportados ao CERT. 1999 a junho de 2006). recuperação de informações perdidas. Br-1999/Junho de 2006. Figura 1. Essas perdas englobam valores financeiros causados pelos vírus devido ao tempo que os equipamentos deixaram de funcionar: perda de produtividade.Cert. Incidentes Reportados ao CERT. Http: //www.Br/stats/incidentes. .

terroristas ou espionagens industriais normalmente são mais velhos (25 anos ou mais). e podemos dividir suas ações em algumas categorias distintas como: _ Curiosos que são estudantes que passam tempos na internet procurando alguma forma de diversão e normalmente aprendem com programas e ferramentas prontas que estão Web e são facilmente capturados. Esses são os mais perigosos. Trabalham para grupos mafiosos. pois eles não possuem conhecimento suficiente para se manterem ocultos por muito tempo. Independente do tipo de hacker as motivações para seus ataques são bastante variadas. O motivo pelo qual os jovens ganham destaque na mídia é a sua captura. 2005). Podem ser pessoas problemáticas com dificuldade de integração na comunidade e trabalham pelo prazer da destruição.5 MOTIVOS QUE LEVAM OS HACKERS ÀS SUAS PRÁTICAS Há muito tempo se ouve falar de adolescentes que passam a noite inteira invadindo sistemas de computadores. muito inteligentes e difíceis de serem pegos.51 4. Por pura inexperiência deixam rastros por onde passam. Muitas vezes criam novas ferramentas ou até utilizam –se das que já existem. _ Profissionais. na . pelo descuido e inconseqüência ou porque simplesmente não têm motivos para se esconderem. _ Técnicos que normalmente são os que criam programas que causam danos sendo extremamente bons no que fazem e espalham rapidamente suas novas técnicas através da Internet. Afinal estes não estão brincando (HACKERS. O diferencial é que recebem pelo que fazem. Estes são responsáveis por 80% dos ataques. Muitas vezes são movidos por vingança ou mesmo por dinheiro no caso de estarem sendo usados por um concorrente ou um terceiro que tenha interesse em prejudicar a empresa em questão. _ In – house que são funcionários ou ex-funcionários que procuram causar problemas para a empresa onde atuam ou atuaram. Entretanto muito pouco se fala dos mais perigosos hackers. Do outro lado estão os hackers profissionais extremamente cuidadosos em suas investidas sendo muito mais difíceis de se detectar e capturar.

52 _ Espionagem industrial ocorre quando uma empresa contrata um hacker para que este invada o sistema da concorrência e descubra seus planos, roube seus programas ou até mesmo suas políticas de parcerias e de investimento. (geralmente praticadas por hackers profissionais). _ Proveito próprio onde o hacker pode invadir um sistema para roubar dinheiro, transferir bens, cancelar divídas ou até mesmo ganhar concursos, ou seja, qualquer ação em que ele seja diretamente beneficiado. _ Inexperiência onde pode ocorrer uma invasão por ignorância. Por exemplo, um funcionário que acessa sua conta da empresa através do seu micro em casa. Dependendo da política de segurança da empresa, isto pode ser considerado uma invasão mesmo que o usuário não tenha conhecimento do problema que pode causar. _ Vingança. Um ex-funcionário tendo conhecimento do sistema pode causar vários problemas se o gerente de segurança da empresa não bloquear seu acesso imediatamente após sua saída da empresa. Ou um parceiro de pesquisas pode acessar “mais do que deve” após a quebra de um contrato trazendo complicações e prejuízos à empresa. _ Status ou necessidade de aceitação onde uma invasão pode fazer com que o invasor ganhe um certo status junto aos seus colegas. Isso pode acarretar uma competição ou uma

verdadeira “gincana” nas empresas. Dentro de grupos é constante a necessidade de mostrar sua superioridade. Este é um fato natural, seja entre humanos, animais selvagens ou hackers. _ Curiosidade e aprendizado onde muitos hackers alegam invadir sistemas apenas para aprender como eles funcionam. Alguns fazem questão de testar o esquema de segurança buscando brechas e aprendendo sobre novos mecanismos. Este tipo de ataque raramente causa um dano maior ou compromete os serviços atacados. _ Busca de aventuras. O ataque a sistemas importantes onde o esquema de segurança é muito avançado pode fazer com que o hacker se sinta motivado pelo desafio e pelo perigo de ser pego. _ Maldade. Algumas pessoas sentem prazer na destruição. Invadem e destroem pelo puro prazer de causar o mal. Raramente são pegos e se vangloriam dos seus atos.

53 Seja o hacker quem for e faça ele o que fizer é importante que ele seja neutralizado pelo menos temporariamente até que seu esquema de segurança seja revisto e atualizado. Essa atualização precisa ser constante, pois os hackers estão sempre em busca de falhas de segurança e muitas vezes, não fazem nada além de invadir sistemas. É extremamente

necessário que haja alguém dedicado a este assunto, pelo menos o mesmo tempo gasto por dia pelos hackers nas tentativas de invasão.

4.6

SEGURANÇA FÍSICA

Muitas vezes esquecida a segurança física é fundamental aos ambientes computacionais. Deve-se analisar a segurança dos recursos físicos do ambiente de rede como, links de comunicação, equipamentos de rede, computadores, roteadores, hubs, cabeamento, etc. É fácil esquecer da segurança física, especialmente se você trabalha em uma pequena empresa ou em casa. No entanto a segurança física é uma parte extremamente importante para manter computadores e dados seguros. Se um hacker experiente puder ir até sua máquina, eles poderão estar comprometidos em questão de minutos. Isso pode parecer um risco remoto, mas há outros riscos como roubo, perda de dados e danos físicos, que fazem com que seja importante verificar as falhas na segurança física. (WIKIPEDIA, 2003). Existem três princípios simples a seguir: mantenha as pessoas afastadas, não permitir o acesso a todos e proteger a rede. Sempre que possível os servidores confidenciais devem ser mantidos em local trancado não apenas por uma porta fechada e o acesso deve ser limitado a um grupo selecionado de administradores confiáveis. É claro que você não deve deixar os cuidados com segurança prevalecer sobre os requisitos ambientais do equipamento. Por exemplo, trancar um servidor em um armário impede o acesso de usuários mal-intencionados, mas se não houver ventilação adequada o computador ficará superaquecido e poderá falhar tornando os cuidados com segurança inúteis. É claro que os computadores não são o único bem valioso que você possui: pense no valor das fitas de backup! Para que os backups sejam úteis é melhor você armazená-los em algum outro lugar onde eles estejam protegidos contra incêndio e roubo e ninguém possa derramar refrigerante neles.

54 É bom restringir o acesso físico e limitar possíveis danos, mas alguém precisa ter acesso para usar os computadores. Você não pode manter todas as pessoas longe deles. A próxima etapa de um bom plano de segurança física é limitar o que pode ser feito com os computadores. Este é um excelente recurso de segurança que não custa nada: bloqueie seu computador quando você estiver longe dele. No Windows NT, Windows 2000 ou Windows XP, basta pressionar Ctrl+Alt+Delete e, em seguida, "k" (a tecla de atalho para o botão Bloquear). Um invasor rápido pode acessar sua máquina e compartilhar seus discos sem senha em menos de 10 segundos, caso não haja um bloqueio. É impotante criar o hábito de bloquear o computador sempre que não estiver usando. O resultado da idéia de restringir o acesso físico às áreas onde os computadores estão é restringir o acesso das pessoas aos componentes do computador. Você pode fazer isso com recursos de segurança física internos dos computadores. Praticamente todos os computadores de mesa, torre ou laptops vendidos nos últimos 15 anos possuem alguns recursos de segurança úteis que poderão ser usados para dificultar o ataque ou o roubo do computador (ou, no caso mais grave, torná-lo inútil se for roubado). O Windows também oferece inúmeros recursos úteis como: _ Bloquear o gabinete da CPU. A maioria dos gabinetes dos computadores de mesa e torres possui alças de bloqueio que você pode usar para impedir que um invasor abra o gabinete. _ Usar uma trava de segurança do tipo cabo para impedir que alguém roube todo o computador. Esse é um dispositivo particularmente bom para laptops ou computadores de mesa pequenos que podem ser facilmente escondidos em capas ou casacos. _ Configurar o (BIOS) para não iniciar a partir de disquete. Isso dificulta para um invasor remover senhas e dados das contas dos discos de sistema. _ Considerar se vale à pena investir na instalação de um alarme com sensor de movimento na sala onde fica o computador. (Lembre-se de que em escritórios domésticos, os sistemas de segurança que cobrem a área do escritório geralmente são dedutíveis como despesas da empresa).

O processo de configuração dessa rede varia de acordo com o fornecedor do equipamento sem fio mas é fácil de se fazer pelo Windows XP.com. Sempre que possível. Caso aconteça algo com o cabeamento o serviço (ADSL) será interrompido.microsoft. . de http://www. no Windosw 2000e no HIPERLINK Windows XP) para proteger os dados.0. Se a pessoa estiver usando uma conexão ADSL com os computadores domésticos ou do escritório deve verificar se a caixa de interface da companhia telefônica está bloqueada.55 _ Usar o utilitário syskey (com suporte Windosw NT 4. Aumentar a segurança física é fácil e não precisa ser um procedimento caro.asp contas local. Se a pessoa quiser usar uma rede sem fio deve procurar entender plenamente os requisitos de segurança. as cópias locais das chaves de criptografia do EFS (Encrypting File System. hubs e até mesmo a interface de rede externa são pontos extremamente vulneráveis de uma rede. Um invasor que possa atacar a rede pode roubar os dados durante a transferência ou elaborar ataques aos computadores da rede ou até mesmo de outras redes.7 PROTEGENDO A REDE Cabeamento de rede. mantenha hubs e switches em locais trancados ou em armários trancados passando o cabeamento por paredes e tetos para dificultar o acesso a eles e garantir que os pontos de conexão com dados externos fiquem fora de alcance. 4.technet/prodtechnol/winxppro/reskit/pmbefszbxr. especialmente se comparado às vantagens de segurança oferecidas. sistemade arquivos com criptografia) e outros itens aos quais os invasoresnão devem ter acesso. Pode – se gastar muito tempo e trabalho para reforçar a segurança da rede e acabar descobrindo que é vulnerável ao velho ataque de "roubo do computador".

mas foi mais uma promessa do que realidade dever-se-ia criar uma maneira de evitar que somente usuários poderosos pudessem fazer algo no sistema.56 5 VULNERABILIDADES DO LINUX (JAVANUNES. 2004) em seu artigo “A mitologia da imunidade a vírus no Linux” . Esse é o caso dos vírus Lion e Adore que atacam vulnerabilidades no (BIND). Isso já é costume cultural em comunidades (UNIX) e Linux. usar um chroot acolá e criar boas senhas resolverá todos os problemas. Considerando que cada programa que existe para console ao ser pesquisado em lugares como o (CERT) revela uma falha grave o assunto fica ainda mais sério. Sabe .6 até prometia algo pra acabar com os buffers overflows. Muitos usuários de Linux ou (UNIX) acham que basta se aplicar uma política com chmod ali.se que o Linux e (UNIX) dão um show nisso (vide sendmail e bind) então um vírus capaz de explorar um desses possíveis estouros de memória no Linux pode muito bem ser feito para explorar um programa qualquer que rode como root e que seja usado em rede para entrar no sistema e depois baixar o que bem quiser para completar sua tomada de poder na máquina local colocando qualquer política de chmod. o vírus altera o ps para não ser visto no sistema.constata que ao navegar na rede e entrar em alguns fóruns vê que o povo anda meio que subestimando o poder dos vírus que existem e que existirão para Linux. 2004) os criadores do kernel deveriam encarar esse assunto com seriedade e não ficarem querendo apenas expandir o sistema para servidores da IBM da vida. chroot. chown e senhas no "chinelo". . Para (JAVANUNES. O kernel 2. Se o Linux continuar crescendo e nenhum outro Unix-like superior tomar a cena no mercado desktop os vírus crescerão drasticamente. tirar um usuário root dali. O kernel por fim deveria ter uma espécie de filtro que impedisse usuários comuns ou eventos incomuns tomassem poderes de root de uma hora para outra como é o caso do su que deveria ser banido do console deixando assim um usuário comum completamente isolado do root. Depois de tomado o sistema (ownado). isso só não é feito no mundo Windows onde todos usuários débeis acham que o dono do computador por hierarquia deva ser o administrador e como ele tem de fazer tudo tendo assim a sensação de poder e o uso de outros usuários restritos um estorvo.

Essas vulnerabilidades são comuns e persistem até hoje: _ BIND.1 VULNERABILIDADE E SEGURANÇA NO LINUX (JÚNIOR. Basta alguma informação . Adote uma política de senhas seguras e jamais permita o acesso a serviços e contas de usuários sem senha. É importante usar o serviço somente quando for necessário. _ APACHE. pois é utilizados para distribuição de carga. É o principal serviço de ataque dos hackers. Não é o sistema que é "hackeado" mas a conta do usuário. É um serviço para as chamadas de procedimentos que serão executados remotamente. mas não deixa de estar exposto à internet. A maioria dos bugs já foi resolvida. É preciso utilizar versões mais recentes e adotar uma política de mascaramento das informações. 2004) mostra abaixo as dez maiores vulnerabilidades do Sistema Operacional Linux/ Uniix e sugestões para minimizar o problema. Tudo que passar por eles e for texto puro. Vários ataques a sistemas operacionais NIX ocorrem pelo Apache principalmente para servidores com execução de scripts e permissões de acesso a programas. _ RPC. processamento distribuído. Sem dúvidas nenhuma é um Web Server bem mais robusto que o (IIS). Deve – se evitar criar contas de usuários em demasia principalmente contas para acesso multiusuário. etc. Uma vez tendo acesso ao sistema o "hacker" pode se tornar bastante incômodo. mas tem pessoas que conseguem invadir sistemas descobrindo senhas pelo método da tentativa e erro e geralmente as senhas são as mais óbvias possíveis. É preciso ajustar bem as configurações e habilitar somente scripts e programas com destino correto e que não comprometam de forma alguma o sistema. não encriptado (o que ocorre na maioria das instalações). _ SERVIÇO DE TRANSFERÊNCIA EM ASCII-FTP e e-mail são os programas diretamente relacionados a estes serviços. _ CONTAS DE USUÁRIOS. É extremamente importante para a funcionalidade da rede interna.57 5. mas a maioria das pessoas mantém as versões mais antigas por uma questão de funcionalidade e por não dispor de tempo para a migração. Esta vulnerabilidade ocorre principalmente sobre contas com senhas fracas ou nulas. o conteúdo pode ser capturado. O (NFS) que é um dos compartilhamentos de rede mais conhecidos e utilizados usa diretamente o (RPC). cliente/servidor. Parece ridículo.

Controle o acesso às chaves privadas. Escolha o nível de segurança mais desejado lembrando que ele é diretamente proporcional ao trabalho para configurá-lo. Se puder. Mas é o mais utilizado porque é extremamente operacional. Ocorre principalmente com NIS/NFS e Samba mal configurado. Restrinja o acesso somente a usuários do sistema. Tende a ser lento e problemático. É a melhor opção quando não puder ficar sem elas. _ SSH. Por isto é a maior fonte de furos existente na comunidade. Uma excelente ferramenta administrativa principalmente para grandes corporações. Pode se tornar uma porta para o acesso de "hackers". De preferência use alguma ferramenta de autenticação. É importante compartilhar somente o que for necessário e restrinja ao máximo o acesso dos usuários ao compartilhamento. É importante estabelecer regras para utilização dos serviços e só usá-lo quando necessário. elas se tornam uma arma na mão dos “hackers”. Sendo necessário o uso configure – o da forma mais restrita possível. . Toda comunicação pode e deve ser feita de forma encriptada. É possível colocá-lo para funcionar rapidamente. _ COMPARTILHAMENTO DE ARQUIVOS. De preferência gaste um pouco de tempo implementando outro servidor. _ SSL'S RESTRITIVAS.58 ou senha secreta para que a porta esteja aberta. atualize e configure corretamente. O serviço é ativado por default no sistema Linux o que causa o esquecimento por parte dos usuários. Se possível restrinja o acesso ao X. Arquivos (ASCII) são muito vulneráveis e todos podem ter acesso ao seu conteúdo facilmente. substitua. E não esqueça de proteger chaves privadas dos usuários. É talvez o pior serviço de e-mail do (NIX) em comparação com os seus próprios concorrentes. É a solução ideal para acesso remoto seguro abolindo de vez o Telnet. Podem comprometer a segurança abrindo brechas para ataques externos. Bloqueie passphrases em branco. No entanto pode se tornar totalmente ineficaz se não for administrado corretamente. _ SNMP. Mas por ser um projeto baseado na comunicação com a rede está sujeito à vulnerabilidades. Embora sejam extremamente eficazes para criar conexões seguras entre cliente/servidor os SSL's permitem o acesso ao servidor por parte do cliente. _ SENDMAIL.

mas está muito relacionada à má configuração dos mesmos. serviços de compartilhamentos disponíveis. Se não for necessário desabilite esta opção e verifique se os serviços estão configurados adequadamente à sua rede. . mas na sua maioria não é muito específico estabelecer uma política de segurança para a sua rede como. Tutoriais e "How-To" geralmente indicam o caminho de como configurar. 5. A desconfiança é o melhor aliado de um bom administrador. por exemplo. Estas permissões geralmente causam os maiores furos na segurança. estabelecer um filtro de tudo que entra na sua rede. vídeos e até chats e mensagens. verificar se os serviços estão rodando com privilégios de root. Deve – se rodar somente os serviços necessários para a operação da rede. política de senhas. De preferência feche todas as portas que não é necessário para o funcionamento do servidor. Não confie demais na segurança. evitar serviços de comunicação (p2p) como servidores de músicas.2 DICAS GERAIS DE SEGURANÇA O sistema operacional deve estar sempre atualizado e nenhuma regra de segurança é páreo para um bug.59 A vulnerabilidade não está necessariamente relacionada ao uso destes serviços.

Nesta fase deve – se conseguir aliados estratégicos dentro da empresa para que o projeto possa fluir por todos os departamentos e ter força quando algum usuário de mais voz tente derrubar seu projeto. Isto é lidar com segurança. Segurança é o ato de tornar algo confiável. É importante que a gerência e diretoria estejam devidamente informadas e convencidas da real necessidade de segurança que a empresa necessita e dos riscos que a falta dela poderá trazer para os negócios da companhia.1 FASES DA IMPLEMENTAÇÃO Para uma boa aceitação de um projeto de segurança deve-se atentar para a divulgação do projeto. 2005) tem estado em forte evidência e com certeza é uma área promissora dentro da tecnologia da informação. mas necessário ao funcionamento de todo este ambiente. Isto é um ambiente seguro. seguro o bastante para trazer tranquilidade e conforto durante qualquer que seja o processo. Segurança não é sair bloqueando tudo em nossos firewalls sem ao menos calcular a real necessidade daquilo que estamos bloqueando e sim analisar o risco que a utilização de um software de mensagens instantâneas pode trazer para minhas estações e para dentro da nossa rede local (COTA. cada vez mais robustos e que necessitam estar em funcionamento 24x7 (24 horas e 7 dias por semana) a segurança se torna um tópico não só importante. montar a equipe e manter a segurança.60 6 UM MODELO DE REFERÊNCIA PARA A ELABORAÇÃO E APLICAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A palavra segurança segundo (COTA. 2005). Como estamos lidando com sistemas cada vez mais online. . os pontos de necessidades. 6. A segurança de uma rede deve ser como uma cola que serve para unir de forma harmoniosa todos as áreas processuais dentro de uma empresa sem atrapalhar ou impedir a existência de uma destas áreas coexistindo com todos os modelos de negócio e sempre apta a nos reportar o necessário sobre ela. as necessidades de segurança.

Conduza esta fase com bastante cautela e mostre os benefícios que a política irá trazer para os usuários. hábitos e capacidade de decisão de forma que elas possam contribuir para o bem estar da empresa como um todo.se procurar a comunicação interna de sua empresa ou divulgar via correio eletrônico ou intranet que sua empresa estará passando por um processo de reestruturação da segurança. . Se nosso usuário baixa seus correios (POP) precisamos de no mínimo dar um tempo de adaptação para que ele possa mudar para um tipo de e-mail diferente como um webmail ou um servidor em Postfix. mas precisamos lembrar que não podemos interferir de forma drástica na rotina dos usuários.1 MONTANDO A EQUIPE Após ter comunicado seus superiores e todas as áreas de sua empresa chegou a hora de montar uma equipe de trabalho para conduzir e fazer com que o projeto tome forma e possa chegar até o final.61 Antes de iniciar qualquer ação ou análise prévia deve . ou que necessitam de mais segurança como o acesso a Internet. A montagem da equipe é algo pessoal e pode ser realizado da mesma forma que você faz para montar equipes de projetos.1. O tamanho da equipe deverá ser de acordo com o tamanho de sua empresa de forma que exista pelo menos 1 profissional de cada área envolvido para que a política se assente de forma unificada em cada área de sua empresa. 6. pois a idéia é politizar as pessoas e agir em suas condutas. É importante que a equipe tenha um coordenador que será um elo de ligação entre a equipe do projeto de segurança e os gerentes.1. Esta fase do projeto é bem importante.2 NECESSIDADES DE SEGURANÇA Nesta fase do projeto é necessário levantar os pontos que geram insegurança e vulnerabilidade em nossos sistemas. 6. Pode-se notar que um projeto de segurança abrange mais do que tecnologia. supervisores e demais pessoas envolvidas diretamente na administração da empresa. pois você poderá ser amado ou odiado por seus usuários e é aqui que você pode conseguir adeptos e aliados fortes ou poderá enfrentar sérias dificuldades com o andamento do projeto. Existem alguns pontos que poderão ajudar a identificar quais são as áreas inseguras.

antivírus. É importante existir dentro de sua política textos informando as penas para o não cumprimento dos assuntos relatados e exigidos pela política de segurança. troca de senhas e instalação de aplicativos. E esta pessoa morreu ano passado”.2 AS FERRAMENTAS Ao apresentarmos as questões de Política de Segurança entendemos ser essencial que esta preceda qualquer posicionamento sobre ferramentas utilizadas para auxílio nos procedimentos de implementação da segurança. Após a aprovação e término de seu documento de política de segurança será necessário realizar uma notificação dentro de sua empresa para mostrar e tornar disponível ao conhecimento de todos este valioso documento. autenticação. Ou seja. não existe sistema seguro sob todos aspectos e nenhuma ferramenta que garanta esta segurança. Do ponto de vista do hardware podemos admitir que “O único sistema totalmente seguro é aquele que não possui nenhuma forma de acesso externo. Primeiro é necessário atrelar as necessidades de segurança às tecnologias utilizadas atualmente dentro de sua empresa. Na maioria dos casos presentes no próprio sistema operacional e máquinas servidoras. Tentar iniciar o documento focando nos métodos de autenticação de usuários como um servidor Linux. . está trancado em uma sala totalmente lacrada da qual uma única pessoa possui a chave. Portanto a implementação de segurança tem que ser feita por um conjunto de hardware e software. 6. controle de acessos e operações além de permitir auditoria do sistema e dos procedimentos.3 IMPLEMENTANDO A POLÍTICA Após todas as fases anteriores cumpridas e mapeadas é chegado o momento de "colocar a mão na massa" e começar a dar vida a sua política de segurança. serviços de instant Messenger. um domínio Microsoft ou Novell e Directory. utilização das estações de trabalho.1. De preferência envie uma cópia deste documento para cada colaborador e salve-o em um diretório de rede acessível como leitura para todos os usuários. utilização da rede. Os programas devem possuir funções de identificação de usuários. 6.62 serviços de e-mail.

Uma ferramenta ou software para obter o certificado de nível (A) só admite quando se comprova que o mesmo é invulnerável aos ataques através de algoritmos matemáticos que atuam na lógica do sistema. Neste nível é obrigatório que quando um arquivo for excluído. O (B3) assegura ainda a recuperação de dados. ou seja. É um grau de segurança extremamente formal e complexo que não é obtido por aplicações e sistemas de utilização comercial. No (C3) há instrumentos de auditoria que indicam quem fez. somente as pessoas autorizadas pelo administrador do ambiente operacional podem entrar no sistema. o que fez e quem autorizou. o sistema destrua o dado limpando o arquivo em disco e memória impedindo assim a recuperação indevida da informação. A divisão (C) se refere aos programas que fazem o controle de acesso discricionário. A divisão (B) se refere ao controle de acesso mandatário em que só o administrador e não o usuário responsável pela informação determina quem pode ter acesso a quê.se insuficiente na qualificação de programas adquiridos de fornecedores diversos. No nível (C1) os softwares controlam o acesso por meio de senhas. No nível (B1) o controle de acesso é obrigatório e há a rotulação dos objetos e dos dispositivos para exportação de dados. Na divisão (D) encontram-se os programas com recursos mínimos recomendados para funções menos críticas. No (C2) já é possível restringir o acesso a dados e operações de cada usuário. O (B2) exige maior uso dos rótulos e uma separação mais clara entre as funções operacionais e de administração. por exemplo. O “orange book” contém especificações de quatro grupos gerais divididos em subníveis. caso haja queda acidental ou recarga do sistema operacional.63 Para mensurar o nível de segurança dos softwares o padrão internacionalmente aceito é o estabelecido pelo National Computer Security Center (NCSC) no seu livro padrão conhecido como “orange book” onde são estabelecidas classificações referentes aos mecanismos de segurança lógica necessários aos programas. . Na maioria dos casos as organizações se dão por satisfeitas com níveis (C1 e C2) o que mostra .

a correção e certeza que a informação é realmente verdadeira e a possibilidade de utilização da informação no tempo e local requerido pelos usuários.64 7 UMA PROPOSTA DE APLICAÇÃO DE POLÍTICA DE SEGURANÇA EM UMA REDE LINUX As organizações sejam elas públicas ou privadas ao perceberem que se tornaram vulneráveis tem-se procurado em alguns casos recuperar o tempo perdido implementando metodologias e ferramentas de segurança sendo que o grande dilema desta questão é a criação de um ambiente controlado e confiável. 2004). integridade e disponibilidade dizem respeito respectivamente a quanto da informação deve ser limitada ou restringida. Da mesma forma a não existência de vírus garante que estas mesmas informações estão bem protegidas e invulneráveis. alterações indevidas e perdas. (GALILEU. identificar os pontos vulneráveis e determinar uma solução adequada para a organização. Para tanto se devem adotar políticas de segurança que determinem quais itens devem merecer atenção e com quais custos sendo que de qualquer maneira vale a premissa: “Um ambiente totalmente seguro depende da aplicação de recursos ilimitados”. É preciso conhecer os riscos. saber quais as consequências da falta de segurança. Os conceitos de confidencialidade. integridade e disponibilidade sendo que ninguém melhor que o proprietário da informação para determinar esta relevância. mas que não tire do usuário a agilidade proporcionada pelo micro informática nos últimos anos. por negligência ou por uma decisão dos níveis estratégicos das organizações em não adotar a segurança. . A análise do problema deve abordar três aspectos fundamentais: confidencialidade. Se os computadores e as redes da organização sofrem de infecções virais com certeza as informações presentes nesta rede sejam públicas ou confidenciais estão sujeitas e vulneráveis a vazamentos. O primeiro passo para isso é avaliar o valor do bem e / ou recurso a ser protegido e sua importância para a organização o que ajuda a definir quanto vale a pena gastar com proteção. A tendência de “esquecimento” dos procedimentos de segurança até que ocorra algum problema grave é muito comum nos ambientes denominados “cliente-servidor”. Um diagnóstico simples para o problema pode ser feito observando as ocorrências de vírus. Em geral sistemas inseguros existem por três motivos: por desconhecimento (na maioria das vezes extremamente conveniente).

Sem explicar aos usuários porque a segurança é importante. e olhar em seus diretórios de home. cuidados com material confidencial quando for viajar. Por exemplo. . é improvável que você tenha qualquer chance de contas de usuário seguras. mesa limpa e informações confidenciais em local trancado. ou procurar intrusos pode ser necessário interceptar tráfego de rede. proteções de tela.65 Um projeto de segurança sempre depende das características de cada organização como seu ramo de negócios. uso de criptografia. Para diagnosticar problemas. desligar o PC antes de sair. o grau de dependência da empresa em relação aos seus computadores dentre outras. informação dizendo se os usuários estão sendo monitorados. Uma política de segurança deve no mínimo conter os seguintes assuntos: uso aceitável. Pode–se então definir política de segurança como um conjunto de normas e regras práticas que regulam como uma organização gerencia suas informações e recursos e que torna – se seguro quando atende às especificações da política de segurança adotada. As ações práticas podem ir desde a instalação de um sistema simples que solicita senha para utilizar o microcomputador até o uso de equipamentos onde apenas algumas aplicações são executadas e todas as operações são monitoradas. cuidados com informaçõe sigilosas (qualquer forma escrita. Existem várias razões para implementar uma política de segurança para seu sistema(s) e a rede. 2003). cuidados com senhas. Contas de usuários seqüestradas são uma das ameaças mais comuns à segurança de sistemas. inspecionar o login e histórico de comandos dos usuários. mas deixar acesso (FTP) que tem a mesma fraqueza. conduzir auditorias. (UFRGS. papel ou digital). Uma boa política de rede ajuda a identificar que medidas de segurança valem a pena e as que não valem. o grau de importância das informações. cuidados com chaves para colegas de trabalho confiáveis. e como praticar boa segurança (como não escrever senhas em um post-it grudado em suas mesas). Uma boa política de segurança permite desenhar a segurança como um "sistema" ao invés de uma simples mistura de funções diferentes. sem uma política um administrador pode decidir desligar o telnet porque ele transmite senhas sem criptografia. baixando e instalando software. uso de software antivírus. Sem dizer isso por escrito e tornando os usuários cientes tais ações podem ser ilegais e colocar você em problemas legais.

66 cuidados com equipamentos de computador quando estiver viajando, cuidados com laptops durante viagens e estadias em hotéis. A seguir são sugeridas algums cuidados ou configurações que podem minizar os riscos de invasões e auxiliar na aplicação de uma política de segurança no ambientem Linux. _ PROTEGER O GRUB COM SENHA: O (GRUB) suporta dois jeitos diferentes de adicionar proteção de senhas a seu gerenciador de inicialização. O primeiro usa texto puro enquanto o seguinte usa criptografia de md5+salt.

Listagem de código 1: /boot/grub/grub.conf Timeout 5 password muderme
Quadro 1 : Protegendo o Grub com senha

Isto irá adicionar asenha muderme. Se nenhuma senha for entrada durante a inicialização o (GRUB) simplesmente irá usar a configuração de inicialização padrão. Para adicionar uma senha (Md5) deve – se converter a senha para formato criptográfico (Crypt) que é o mesmo formato usado no /etc/schadow. Outra opção é criptografar a senha diretamente no Shell do (GRUB). _ PROTEGER O LILO COM SENHA: O LILO também suporta dois jeitos de lidar com senhas: global e por imagem, ambos em texto normal. A senha global é colocada no começo do arquivo de configuração e aplica – se a todas as imagens de boot.

67 A senha por imagem é configurada abaixo: Listagem de código 5: /etc/lilo.conf Image=/boot/bzImage Read-only password=mudeme restricted
Quadro 2 : Protegendo o Lilo com senha

Se a opção restricted não for digitada, ele irá pedir a senha toda vez. Para guardar as novas informações do lilo.Conf, você deve rodar /sbin/lilo. _ RESTRINGIR O USO DO CONSOLE: O arquivo /etc/securetty permite que você especifique em que dispositivos tty (terminais) o administrador (root) pode fazer log-in. É sugerido que seja comentado todas linhas fora (Vc1). Isto certificará que o root só poderá fazer log-in uma vez e somente em um terminal. _ REGISTROS: Mais registros devem ser adicionados para pegar avisos ou erros que podem indicar um ataque em progresso ou uma invasão com sucesso. Indivíduos maliciosos freqüentemente escaneiam ou fazem sondas antes de atacar. Também é vital que os arquivos de registro sejam de fácil legibilidade e manuseio. O Linux permite que você escolha três loggers diferentes durante a instalação. _ SYSLOGD: O syslogd é o logger mais comum para Linux e Unix em geral. Ele não vem com rotação de registros. Esta função é feita rodando /usr/sbin/logrotate em um serviço de cron (o logrotate é configurado em /etc/logrotate.conf). A freqüência com que a rotação de arquivos deve ser feita depende da carga do sistema. _ MONTANDO PARTIÇÕES: Na hora de montar uma partição ext2, ext3, ou reiserfs existem várias opções que podem ser aplicadas ao arquivo /etc/fstab. As opções são: _ Nosuid: Que irá ignorar o bit de SUID e tratá-lo como um arquivo normal; _ Noexec: Que irá prevenir a execução de arquivos da partição;

68 _ Nodev: Que ignora dispositivos. Esses ajustes podem ser facilmente contornados ao executar um caminho não direto. No entanto configurando /tmp para noexec irá parar a maioria dos exploits desenhados para serem executados diretamente de /tmp. Listagem de código 1: /etc/fstab /dev/sda1 /boot ext2 noauto, noatime 1 1 /dev/sda2 none swap sw 0 0 /dev/sda3 / reiserfs notail, noatime 0 0 /dev/sda4 /tmp reiserfs notail, noatime, nodev, nosuid, noexec 0 0 /dev/sda5 /var reiserfs notail, noatime, nodev 0 0 /dev/sda6 /home reiserfs notail, noatime, nodev, nosuid 0 0
Quadro 3 : várias opções para configurar o arquivo /etc/fstab

_ LIMITAÇÕES DE USUÁRIO / GRUPO: Controlar o uso de recursos pode ser muito eficaz na hora de prevenir um ataque de Denial of Service local ou restringir o número de log-ins máximos permitidos para um grupo ou usuário. No entanto, ajustes muito restritos irão atrapalhar o funcionamento de seu sistema e haverá falhas em programas então se certifique de verificar cada ajuste primeiro. Listagem de código 1: /etc/security/limits.conf. _ soft core 0; _ hard core 0; _ hard nproc 15; _ hard rss 10000; _ maxlogins 2; _ @dev hard core 100000; _ @dev soft nproc 20; _ @dev hard nproc 35; _ @dev -maxlogins 10. /etc/login.defs

O arquivo login. Recomenda –se que seja configurado (LOG_OK_LOGINS) como ativo. É recomendado que se use o envelhecimento de senhas já que métodos de força bruta podem encontrar qualquer senha. mas também remover as vulnerabilidades que podem residir dentro de drivers e outras funções. Isto é perigoso e arquivos com bits de (SUID ou SGID) devem ser evitados a qualquer custo. _ REMOVENDO FUNCIONALIDADES DO KERNEL: A regra básica na hora de configurar o kernel é remover tudo não seja útil. apagar-dados. dado tempo suficiente. Se você tem certeza de que um arquivo somente é usado pelo root. _ ARQUIVOS SUID/SGID: Arquivos com o bit (SUID ou SGID) configurado executam com os privilégios do usuário ou grupo proprietário e não do usuário executando o arquivo. então o arquivo consiste somente de comentários e exemplos. configure-o com as permissões (0600) e atribua o arquivo ao usuário correto com chown. _ PERMISSÕES DE ARQUIVOS LEGÍVEIS GLOBALMENTE: Os usuários normais não devem ter acesso a arquivos de configuração ou senhas. Isto não só irá criar um kernel menor. Normalmente esses bits são usados em arquivos que devem ser rodados com root para fazer o que devem. Um indivíduo malicioso pode roubar senhas de bancos de dados ou website e usá-los para fazer defaces--ou pior ainda. nome de grupo ou nome de host.69 Se a política de segurança diz que os usuários devem mudar suas senhas uma semana sim outra não mude o valor (PASS_MAX_DAYS) para 14 e (PASS_WARN_AGE) para 7. Por padrão todos usuários em todos os sistemas podem fazer log-in.Access também é parte do pacote sys-apps/shadow que fornece uma tabela de controle de acessos de log-in. É por isso que é importante que as permissões de arquivo estejam corretas. Não importa se você estiver cuidando da segurança de seu servidor ou estação de trabalho recomenda –se que você configure este arquivo para que ninguém fora você mesmo (o administrador) tenha acesso ao console. Esses arquivos podem levar a comprometimentos de root locais (se contiverem buracos de segurança). Se esses arquivos não são usados chmod 0 neles ou desinstale o pacote de que eles originaram (verifique a que pacote eles pertencem usando equery). . A tabela é usada para controlar quem pode e não pode fazer log-in com base no nome de usuário.

_ O SISTEMA DE ARQUIVOS PROC: Muitos parâmetros de kernel podem ser alterados através do sistema de arquivos /proc ou usando sysctl. É aconselhável ligar ou desligar essa opção antes de outras opções já que ela liga/desliga outras opções também. Embora seja possível adicionar root kits sem essa função fica mais difícil para indivíduos maliciosos normais instalarem root kits via módulos do kernel. Para mudar parâmetros e variáveis de kernel na hora você precisa de (CONFIG_SYSCTL) definido em seu kernel. mas não há motivo para uma pessoa de fora poder fazer ping. você pode desabilitar mensagens de (ICMP) de tipo 0 no firewall (permitindo que administradores locais continuem a usar essa ferramenta). Nós só precisamos disso para um host hospedado em vários lugares.4 normal. Administradores usam o ping como uma ferramenta de diagnóstico e freqüentemente reclamam se ele estiver desligado. Listagem de código 3: Ignorar pings de broadcast # /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts Quadro 6 : ignorar pings de broadcast .70 Também considere desligar suporte de módulos carregáveis. Listagem de código 2: Ignorar pacotes de ping # /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all Quadro 5 : Ignorar pacote de Ping Isto fará com que o kernel simplesmente ignore todas mensagens de ping (também conhecidas como mensagens de (ICMP) de tipo 0). A razão para isso é que um pacote de (IP) carregando uma mensagem ICMP pode conter um payload com informações diferentes das que você espera. No entanto. Ele já vem ligado por padrão em um kernel 2. já que as vezes pode ser útil para pessoas de dentro poder fazer ping. Listagem de código 1: Desligue o encaminhamento de IP # /bin/echo "0" > /proc/sys/net/ipv4/ip_forward Quadro 4 : Sistema de arquivo /proc Certifique-se que o encaminhamento de IP esteja desligado.

Quadro 8 : Desligar aceitação de redirecionamento . Listagem de código 4: Desligar pacotes de fonte roteada # /bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route Quadro 7 : Desligar pacotes de fonte roteada Não aceite pacotes de fonte roteada. Tipicamente um indivíduo malicioso irá usar um endereço de fonte falso. Roteamento de fonte é raramente usado para propósitos legítimos. Listagem de código 5: Desligar aceitação de redirecionamento # /bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects # /bin/echo "0" > /proc/sys/net/ipv4/conf/all/secure_redirects Não aceite redirecionar pacotes ICMP. Redirecionamento de ICMP pode ser usado para alterar suas tabelas de roteamento. O ataque de Smurf funciona mandando um mensagem de (ICMP) de tipo 0 (ping) para o endereço de broadcast de uma rede. Indivíduos maliciosos podem usar fontes roteadas para gerar tráfego fingindo vir de dentro de sua rede mas que é na verdade roteado de volta ao caminho de onde veio para que indivíduos maliciosos possam comprometer sua rede.71 Isto desliga respotas a broadcasts de (ICMP) e irá prevenir ataques de Smurf. então você pode desligá-lo com segurança. Todos os computadores na rede irão responder à mensagem de ping e irão floodar o host com endereço de rede forjado. Listagem de código 6: Proteção contra mensagens de erro falsas #/bin/echo"1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses Ative a proteção contra respostas a mensagens de erro falsas. possivelmente para um fim malicioso.

0.0. Abaixo estão as opções que você deve aplicar ao arquivo de configuração.72 _ SEGURANÇA DE SERVIÇOS/ APACHE: O Apache (1.3. precisa .conf #Faça-o ouvir seu ip Listen 127. ouve em 2 portas (normalmente porta 20 e 21). então você deve comentar todos módulos que você não usa na seção LoadModule (LoadModule e AddModule).se melhorar algumas coisas como fazer bind do Apache em um endereço e impedir que ele vaze informações.1 #Não é uma boa idéia usar nobody ou nogroup #para todo serviço que não roda como root #(simplesmente adicione o usuário apache com grupo apache) User apache Group apache #Impedirá que o apache fale sobre a versão ServerSignature Off ServerTokens Prod O Apache é compilado com --enable-shared=max e --enable-module=all. . Reinicie o serviço executando /etc/init. Já que o protocolo de (FTP) contém vários problemas de segurança você deve usar sftp ou (HTTP). senhas são enviadas em texto normal). Listagem de código 1: /etc/conf.26) vem com um arquivo de configuração decente mas de novo.d/apache restart.d/apache HTTPD_OPTS="-D SSL" Listagem de código 2: /etc/apache/conf/apache. Isto irá por padrão carregar todos módulos. Quadro 9: Opções para o arquivo de configuração Apache _ FTP: Geralmente usar (FTP) (File Transfer Protocol) é uma má idéia. Se não for possível faça a segurança de seus serviços o melhor que puder e prepare-se. Ele usa dados sem criptografia (isto é.1 BindAddress 127.0. e indivíduos maliciosos estão freqüentemente procurando por log-ins anônimos para trocar warez.0.

_ #Prender em uma interface.73 _ QMAIL: O qmail é freqüentemente tido como um servidor de correio muito seguro.1/32. _ security = user. Certifique-se que as permissões estão configuradas corretamente em todas shares. _ directory security mask = 0700. _ invalid users = root @wheel. _ #Proibir contas com privilégio. Simplesmente faça emerge qmail e vá configurá-lo! _ SAMBA: Samba é o protocolo para compartilhar arquivos com redes Microsoft/Novell e não deve ser usado na Internet. Ele não permite relaying por padrão e não teve um buraco de segurança desde (1996). .0.0.0.0. _ null passwords = no. É escrito com segurança (e paranóia) em mente. _ interfaces = eth0 10. _ min password length = 8.0. _ #permitir tráfego de 10. _ #(não use o modo compartilhar). Depois reinicie o servidor e adicione os usuários que devem ter acesso ao serviço. _ #Certificar-se de usar senha criptografada.0. _ pam password change = yes. Isto é feito através do comando /usr/bin/smbpasswd com o parâmetro -a. _ #Manter a política de senhas. _ max disk size = 102400. _ #Tamanho máximo que o smb mostra para uma share (não um limite). _ #Permitir autenticação de usuário.* _ hosts allow = 10.conf _ [global]. _ obey pam restrictions = yes. Todavia ainda precisa de medidas de segurança Listagem de código 10: /etc/samba/smb. _ #Usar PAM (se suporte for adicionado). _ encrypt passwords = yes.

org #Registros SyslogFacility AUTH Loglevel INFO ListenAddress 127.ssh/authorized_keys _ #Desligar autenticaçao de .rhost e senha normal _ RhostsAuthentication no _ PasswordAuthentication no _ PermitEmptyPasswords no _ #Só permitir que usuários nos grupos wheel ou admin façam log-in _ AllowGroups wheel admin _ #Nestes grupos só permitir os seguintes usuários _ #O @<nomededomínio> é opcional mas substitui a #antiga diretiva AllowHosts AllowUsers kn@gentoo.0. Usuários devem usar su para root _ PermitRootLogin no _ #Ligar autenticação de chave pública _ PubkeyAuthentication yes _ AuthorizedKeysFile .0. Listagem de código 11: /etc/ssh/sshd_config _ #Só permitir a versão 2 _ Protocol 2 _ #Desligar log-in de root.74 _ SSH: A única medida de segurança que o Openssh precisa é ligar um método de autenticação baseado na criptografia de chaves públicas.org bs@gentoo.1 Também verifique que você não tem UsePAM yes em seu arquivo de configuração já que isso sobrepõe o mecanismo de autenticação de chave pública. Agora tudo o que seus usuários tem que fazer é criar uma chave (na máquina em que querem fazer log-in) com o seguinte comando: .

O pacote snort do Debian tem diversas configurações de segurança ativadas por padrão. O Snort é um sniffer de pacotes bastante flexíveis ou logger que detecta os ataques utilizando um dicionário de assinatura de ataques. Especificamente os pacotes da rede são examinados e eles são verificados para ver se existe uma certa assinatura de pacotes maliciosos. varredores de portas stealth. Pode .se usar o snort tanto para uma série de máquinas na sua rede quanto para o seu próprio servidor. Ele detecta uma variedade de ataques e probes como estouro de buffer.75 Listagem de código 12: Criando um par de chaves DAS # /usr/bin/ssh-keygen -t das E digite sua senha. O portsentry é um pacote interessante que pode ajudar a descobrir varreduras contra . Também seria interessante procurar algumas verificações específicas para estes serviços. e verificar o log. seguir as perguntas. Quadro 10 : comando para criar chaves DAS _USER MODE LINUX: Outro jeito de criar um ambiente mais seguro é rodando uma máquina virtual. Uma máquina virtual como o nome implica é o processo que roda em cima de seu sistema operacional real fornecendo um hardware e ambiente de sistema operacional que parece ser sua própria máquina individual. Existem outras ferramentas mais simples que podem ser utilizadas para detectar ataques em rede. O Snort também tem a capacidade de gerar alerta em tempo real.se customizar o programa tendo em mente os serviços particulares que você roda no seu sistema. Entretanto deve . _ DETECÇÃO DE INTRUSÃO BASEADA EM REDE: As ferramentas de detecção de intrusão baseada em rede monitoram o tráfego em um segmento de rede e utilizam essas informações como fonte dos dados para serem analisados. só o servidor virtual é afetado e não a instalação mestra. Ele é uma ferramenta que deve ser instalada em todos os roteadores para manter os olhos na rede. ataques (CGI). O benefício de segurança é que se o servidor rodando a máquina virtual for comprometido. Para instalá-lo basta usar o apt-get install snort. probes (SMB) e muito mais.

Vimos que não existe segurança 100% portanto mesmo depois de implementada a política para garantir um bom nível de segurança o trabalho ainda não acabou. problemas no sistema de arquivo. localização de arquivos que não pertencem a nenhum pacote e análise de processos locais que estão em estaado de escuta. A vasta maioria das invasões resulta de vulnerabilidades e não acompanhamento da política. A segurança é um processo contínuo. Ele fornece verificações de casos comuns relacionados a furo de segurança como uso de força bruta das senhas. monitora acesso ao host e pode até monitorar alterações em arquivos críticos do sistema. Este pacote também inclue verificações de segurança específicas para o Debian como: verificações de MD5sums de arquivos instalados. Ferramentas de análise de log como logcheck também podem ser usadas para detectar tentativas de intrusão. Outras ferramentas como ippl ou iplogger também podem detectar alguns ataques IP (TCP e ICMP) mesmo que eles não forneçam os tipos de técnicas que o snort fornece. Manter um controle rigoroso da aplicabilidade da política é o passo mais importante que você pode tomar para garantir a segurança. _ DETECÇÃO DE INTRUSÃO BASEADA EM HOST: A detecção de intrusão baseada em rede envolve o carregamento de um software no sistema a ser monitorado e que utiliza arquivos de log e/ou os programas de auditoria de sistema como uma fonte de dados. comunicação de processos e outras formas de comprometer o superusuário. O tiger é uma antiga ferramenta de detecção de intrusão que foi portado para o Debian desde a versão do Woddy. Ele procura por processos suspeitos.76 seus hosts. A instalação padrão configura o tiger para rodar diariamente gerando um relatório que é enviado para o superusuário sobre possíveis comprometimentos no sistema. .

foi feita uma cartilha de configuração para evitar os principais tipos de vulnerabilidades existentes em redes linux. Uma alternativa de continuidade ao trabalho proposto seria o aprofundamento no estudo das vulnerabilidades e medidas de proteção em redes sem fio. Foram apresentados diversos métodos e procedimentos de segurança que podem dificultar ou impedir a invasão dos dados. Dessa forma. Além disso. . aumentando a demanda por pontos de conexão. Foi apresentada uma proposta de implantação de uma política de segurança. desde que sejam aplicados de maneira adequada. o profissional que pretende implantar uma política de segurança e nunca pesquisou nada sobre o assunto poderá utilizar esse trabalho como referência facilitando e agilizando o trabalho de elaboração e implantação da política. Portanto a implantação de uma política de segurança é algo fundamental. investe na questão humana. Além disso. Em continuidade ao trabalho proposto é sugerida a pesquisa e elaboração de propostas de políticas de segurança que possam garantir a integridade. pois auxilia na manutenção e atualização dos procedimentos de segurança da rede. Sabe-se que é impossível proteger uma rede de todos os tipos de ameaças e ataques existentes. A todo momento surgem novas falhas ou “brechas” que podem comprometer a segurança das informações das empresas. quer em ambiente empresarial ou doméstico. disponibilidade e confidencialidade das informações em redes Wireless A crescente necesidade de maior mobilidade e as melhorias da tecnologia Wi-FI (Wireless Fidelity) que permitem conexões mais rápidas e estáveis combinadas com preços mais acessíveis estão fazendo com que cada vez mais pessoas utilizem redes sem fio. quer em locais de trânsito. As redes Wireless estão em pleno crescimento. A segurança é um assunto muito sério e não pode ser deixado de lado. pois não adianta ter uma política boa se os usuários não estão preparados para manter essa política.77 8 CONSIDERAÇÕES FINAIS E TRABALHOS FUTUROS Esse trabalho busca informar e alertar sobre os tipos de ameaças mais usados pelos invasores para obter informações ou danificar uma rede.

e diferentemente das redes que utilizam cabos as quais necessitam de conhecimentos técnicos mais específicos. Essa facilidade. completamente expostas a qualquer tipo de ataque. a montagem e a instalação de redes WI-Fi podem ser efetuadas sem maiores problemas por um usuário iniciante. contudo apresenta um risco associado por muitas instalações (caseiras ou não) que estão sendo realizadas com padrões dos fabricantes. . ou seja.78 Apesar dessa demanda as redes sem fio ainda são uma novidade.

Chamada de sistema de informação digital ou sistema de publicação digital.hackers. São Paulo. Sistemas de operação e princípios internos.com. Silvio. Quais os motivos que levam os hackers às suas práticas? Disponível em www. FREIRE.cs.br/ah_hack/motiv.79 9 REFERÊNCIAS BIBLIOGRÁFICAS ANONYMOUS. FERREIRA. Segurança no Envio e Recebimento de Mensagens Através do Correio Eletrônico. HAWKINS. HACKERS . 2006. Disponível em: http://www. Jim et alii. 1995. FURG.com.br/ah_hack/hacker. O uso de novas Tecnologias na Educação.Autarquia associada à Universidade de São Paulo. BULLARA. Rio de Janeiro: Revista TB. Trabalho acadêmico do Instituto de Pesquisas Energéticas e Nucleares . Vitor Hugo.htm em Junho de 20065. A Segurança em Microinformática e em redes locais. São Paulo. www.vivalinuxcom. vol 120. Alan.imasters. Segurança Máxima para linux. COTA. Universidade Fernando Pessoa.br acessodisponível em: setembro de 2006. 2005. Jan / Mar. Disponível em http://www. 1995.edu/cdlrg/dienst/protocols acessodisponível em: 2006. Alisson. São Paulo.hackers.b r/artigos acessodisponívelem:31/08/2006. São Paulo.cornell. J. 2005. Jacob. Carlos A. CARUSO. Implementando uma política de segurança eficaz. Editora: LTC. DAVIS. Windows 2000 e Linux: Um estudo comparativo no contexto de segurança informática lógica. http://www. Alexandre.com. .htm acesso disponível em: Agosto de 20065 HACKERS. Quem são esses caras misteriosos? Disponível em. Alexandre Marinho. 2003. 2000. Editora Campus. Sistemas de Firewall e Defesa de Perímetros. 1997. 2004.

com. BS 7799 ¿ Information Security Management. Editora: Makron Books.80 HEFFERAN. Universidade Estácio de Sá. 1999. Stuar. 2000. Acesso disponível em: 31/08/2004 JUNIOR.org. Larry J. Joel. e Segurança. acesso disponível em: 05 de Junho de 2006.ISO/IEC 17799. 2004. www. Jr. MORRIS. USA.nEditora BERKELEY. 2001.vivaolinux. JAVANUNES. 1998. Daniel. STEPHEN. MCCLURE. 2000.gov. 2000. www.br. . 2004. 1997. Acesso disponível em: 31/08/2006. USA. Segurança e Prevenção de Redes. A Ètica dos Hackers e o Espírito da Era da Informação.br. Aline Morais.Campus.uk HELVECIO. Redes de Computadores: Serviços. São Paulo. 2001. McGraw Hill. Actually Useful Internet Security Techniques.ed. Gerald L. KOVACICH. George – Hacking Exposed.istc.vivaolinux. Security in Computing. INTERNATION STANDARTIZATION ORGANIZATIO . Prentice Hall. Vulnerabilidade e segurança no Linux.cybercrime. disponível em http://www.com. 1997. 2001. Adm. Tracking a Computer Hacker. NORTHCUTT. 2001. 2a edition. LEMOS. Rio de Janeiro. Rossylenne. A mitologia da Imunidade a Vírus no Linux. Dornelles Vissoto. Information systems security officer’s guide. pág 156. 2. Boston: ButterworthHeinemann. New Jersey. Pekka. SCAMBRAY. Jose Teixeira Jr. HIMANEN. KURTZ. PFLEEGER. www. HUGHES. Charles P. Política de Segurança da Informação. Pratice Hall.

SOLMS. Vol 6 Issue 5. Carla Merkle. Rossouw von. Port Elizabeth. . 2001. WESTPHALL.. SOLMS. Segurança. Trabalho apresentado no 18º Simpósio Brasileiro de Redes de computadores. Port Elizabeth. Wangham. Vol 6 Issue 5. Information Management & Computer Security. Rossouw von.com: Segredos e mentiras sobre a proteção na vida digital. Michelle Silva. South Africa. South Africa. Policap. São Paulo. Fraga. Um Serviço de política para o Modelo Corba de segurança. 2004. 1998. 1998. Information Management & Computer Security. Joni da Silva.81 SCHNEIER. Bruce. Information security management (3): the Code of Practice for Information Security Management (BS7799). Information security management (3): the Code of Practice for Information Security Management (BS7799). Editora CAMPUS. UFSC.

interfocus.br/Artigos/Seguranca.br/artigos/verartigo. Acesso em: 05 Dez 2006.html. Acesso em: 05 Dez 2006. Acesso em: 3 Jul 2006.Php.ufrgs.php.interfocus.wikipedia.Cert.istf.htm.//www.com.com. http.br/Artigos/Seguranca.technetbrasil.tba. Acesso em: 08 Mai 2003 http://penta.cert. http://www. . Acesso em: 08 Ago 2006. Http. Acesso em: 01 Abr 2006.php?t-497.br/index.Acesso em: 21 Jul 2006. http:// www.com. Acesso em: 21 Jul 2003.modulo.htm.istf.com. Http: //www.br/vb/archive/index. Acesso em: 31 Jul 2006.br/seguranca.php?t-497. Acesso em: 3 Jul 2006.htm.br/seguranca. Acesso em: 25 Ago 2006.82 10 SITES CONSULTADOS http://www. Acesso em: 3 Jul 2006.htm.3elos. http://penta.technetbrasil. Acesso em: 08 Ago 2006 http://www.com.org/wiki.Com.br/gereseg/rfc2196/cap2.com. http://www.Br/stats/incidentes. Acesso em: 25 Ago 2006.html. Acesso em: 05 Dez 2006 http. http://penta.com.com. Acesso em: 21 jul 2006.jsp.br/pages/alexigor/virtual.br/vb/archive/index. http://www.htm.htm.br/gereseg/rfc2196/cap2. http://pt. Acesso em: 01 Abr 2006 http://www.com.br/stats/incidentes.ufrgs.ufrgs.Cert.//www.br/produtos/politicadeseguranca. //www.br/gereseg/rfc2196/cap2. http:// www.Vivaolinux.Br/stats/incidentes. http://www.

htm.br/interfocus-2/seguranca.//galileu. http:// www.com.br/gereseg/rfc2196/cap2.htm. Acesso em: 25 Ago 2006 http://penta.html. Acesso em 11 Abr 2006 http://penta.br/vb/archive/index.php?.ufrgs.br/gereseg/rfc2196/cap2.cert.br/seguranca. Acesso em: 21 Jul 2004 http://www.//galileu.com.com.com.wikipedia.com.php?t-497.br/proxy. Acesso em: 01 Abr 2002 http://pt.83 http:// www.//www.br/stats/incidentes.org/wiki.htm.org/wiki.htm.technetbrasil.php.com.interfocus.br/vb/archive/index.org/wiki.ufrgs.Acesso em: 21 Jul 2006 http://www. Acesso em 11 Abr 2004 http://penta. Acesso em: 08 Mai 2006 .htm.com.php?t-497.ufrgs.br/Artigos/Seguranca. Acesso em : 21 jul 2006 http://www.br/produtos/politicadeseguranca.istf.wikipedia. Acesso em: 05 Dez 2006 http. Acesso em: 10 Set 2006 http://www.wikipedia. Acesso em: 23 jun 2006 http://www.furg.br/interfocus-2/seguranca.jsp.com.br/artigos/verArtigo.br/proxy. Acesso em: 08 Ago 2006 http://www.3elos.com. Acesso em: 10 Set 2006 http://pt. Acesso em: 08 Mai 2006 http. Acesso em: 23 jun 2003 http://www. Acesso em: 3 Jul 2006. Acesso em: 08 Mai 2006 http.vivaolinux.br/pages/alexigor/virtual.modulo.htm.br/gereseg/rfc2196/cap2.interfocus. Acesso em: 01 Abr 2006 http://pt.istf.interfocus.com.br/index. Acesso em : 31 Jul 2006 http://www.html.tba.furg.htm.

//galileu.furg.furg.br/proxy.br/proxy. Acesso em: 10 Set 2006 http://www.com. Acesso em: 10 Set 2006 . Acesso em: 23 jun 2006 http://www.84 http.htm.interfocus.ufrgs. Acesso em 11 Abr 2006 http://penta.htm.br/interfocus-2/seguranca.br/gereseg/rfc2196/cap2.

Crackers . Voltada principalmente aos clientes e parceiros da empresa. "Extra" . CCSC .Norma inglesa de segurança da informação British Decurity.Significa a modificação de características de um sinal para torná-lo mais apropriado para uma aplicação específica.É o termo usado para designar quem quebra um sistema de segurança.Disco de material plástico.É a ciência de quebrar uma mensagem cifrada. criptografia significa escrita secreta ou escrita oculta. Portanto.Conjunto de duas ou mais intranets ligadas em rede.Commercial Computer Security Center CPD – Centro de Processamento de Dados Criptografia .São indivíduos que criam e modificam software e hardware de computadores. Hackers . grafar. de forma ilegal ou sem ética.85 GLOSSÁRIO BS 7799 . Codificação.A palavra Criptografia tem sua origem no Grego: kryptos significa oculto. escondido. secreto.Computador Pessoal. denominação generalizada pelo mercado. Extranets . Compact Disc .Sistema de detecção de Intrusão IBM–PC .externo. seja desenvolvendo funcionalidades novas ou adaptando as antigas. IDS . como por exemplo transmissão ou armazenamento de dados. graphos significa escrever. envolto. Criptoanálise . .

National Computer Security Center SmartCard – Cartão inteligente.É uma rede de computadores privativa que utiliza as mesmas tecnologias que são utilizadas na Internet. . NCSC . Ti – Tecnologia da Informação WAP – Nome denominado para tecnologia de Wireless Aplication Protocol.86 Internet .É um conglomerado de redes em escala mundial de milhões de computadores que permite o acesso a informações e todo tipo de transferência de dados.pode ser utilizado ao invés de cheques. Intranets .

87 ANEXOS .

Em parte este aumento de incidentes será devido ao crescimento do número de ameaças e das vulnerabilidades nos sistemas e novas tecnologias implantadas. O resultado deste ano permite concluir que as empresas brasileiras estão cada vez mais conscientes da importância de se investir em segurança para reduzir os riscos operacionais e atender a requisitos legais compatíveis com a natureza de seus negócios. Reforçando essas expectativas a pesquisa indicou que 43% das empresas reconheceram ter sofrido ataques nos últimos 12 meses representando um aumento de 10% em relação a 2001 sendo que 24% das ocorrências foram registradas nos últimos seis meses. Outro fato preocupante é que 32% não souberam informar se foram atacadas ou não. Este crescimento pode estar ligado ao aumento substancial da expectativa em torno da ocorrência de problemas de segurança com 82% dos entrevistados. A pesquisa indica que a segurança da informação passou a ser fator importante para 45% dos executivos sendo que 16% a consideram crítica e 32% a classificam como vital. A Módulo Security Solutions divulgou recentemente os resultados de sua 8ª Pesquisa Nacional de Segurança da Informação. adoção de soluções e questões comportamentais como conscientização dos usuários técnicos e executivos. Em 2001 este número foi de 63%. tendências nos investimentos. . afirmando esperar mais problemas em 2002. A amostragem do estudo abrangeu entrevistas com 547 profissionais de diversos segmentos econômicos. Mesmo assim a falta de conscientização dos executivos (45%) e dos usuários (38%) foram apontadas como os principais obstáculos para implementação da segurança nas corporações. As entrevistas foram baseadas em um questionário com 40 perguntas sobre temas como novas tecnologias.88 ANEXO A .Pesquisa nacional de segurança da informação Com o objetivo de corroborar com a pesquisa realizada junto as empresas será apresentada a pesquisa nacional de segurança da informação realizada pelo Módulo Security Solutions em 31 de outubro de 2002. Em termos de investimentos 77% das empresas informaram que vão aumentar os investimentos em segurança em 2003.

A ausência de procedimentos emergenciais amplia a extensão do problema. política de segurança ( 76%) e análise de riscos (75%). Para reduzir os riscos a que estão expostas 78% das empresas possuem orçamento específico para área de segurança sendo que 33% alocam recursos entre 1 e 5% do orçamento total de tecnologia. Os hackers (48%) foram os maiores responsáveis por ataques e invasões em 2002 representando um aumento de 15% com relação a 2001. A Internet continua sendo considerado o principal ponto de ataque com 55%. O percentual relativo a prestadores de serviço passou de 3 para 12% e o dos concorrentes de 1 para 4%. Das principais medidas de segurança já implementadas o estudo mostra que as soluções ainda possuem características técnicas e pontuais como a utilização de antivírus e firewall.7 milhões sendo que em 4% estas perdas foram avaliadas em mais de R$ 1 milhão. No entanto o acesso remoto teve o maior aumento passando de 9% em 2001 para 16% em 2002 um aumento de 78% em apenas 1 ano. No entanto para 2003 a tendência é que as empresas invistam cada vez mais em capacitação e processos de gestão com prioridade para a capacitação de equipe técnica (81%). Em segundo lugar vêm os funcionários que passaram de 24 para 31%. deixando as empresas mais vulneráveis e aumentando o impacto sobre os negócios. 24% alocam de 5 a 10% e 21% investem mais de 10% de seu orçamento de TI em segurança. Em 22% das organizações que conseguiram contabilizar estes valores o total de perdas registradas foi de R$ 39. . Surge também uma nova ameaça não registrada na pesquisa anterior: a categoria ex-funcionários que registrou 8%. A função de Security Officer vem se consolidando como o principal gestor da segurança nas empresas embora em 41% das organizações a área de tecnologia ainda seja responsável pela segurança da informação.89 Apesar da expectativa de aumento nos problemas com a segurança e o crescimento no índice de registros de ataques e invasões a pesquisa mostra que apenas metades das empresas brasileiras (49%) possuem planos de ação formalizados em caso de ataques. 78% das empresas reconhecem que tiveram perdas financeiras. Porém 56% ainda não conseguem quantificar o valor dos prejuízos causados pelos problemas com a segurança da informação.

com destaque para o segmento financeiro que no Brasil pode ser considerado como o setor mais preocupado com a adoção de políticas de proteção à informação. A percepção de falta de segurança nas transações continua sendo o maior obstáculo para o desenvolvimento de negócios digitais em escala global sendo que 66% dos usuários afirmaram que deixam de comprar pela Internet por causa da sensação de falta de segurança. apenas 5% afirmaram não possuir uma política de segurança contra o índice de 15% na pesquisa geral. Esta maturidade pode ser observada em 88% das empresas que adotam planos de continuidade dos negócios que representa 33% acima do índice geral incluindo outros setores. No mundo já existem 153 empresas certificadas pela BS7799 sendo que 2 destas no Brasil. Das 115 empresas do segmento financeiro que participaram da pesquisa. Finalmente a pesquisa indica que além de limitar seus riscos as empresas e o governo precisam também investir em segurança para transmitir confiança para seus cientes e parceiros (B2C. G2C e G2B). B2B. Neste sentido existe uma forte tendência de que as empresas adotem a ISO/IEC 17799 como padrão de segurança para as organizações e em alguns casos a norma seja também utilizada para certificação das empresas.90 O estudo permitiu também análises mais detalhadas por ramo de atividade. sendo considerada também um importante diferencial competitivo. Esta certificação vem sendo adotada em mais de 20 países trazendo maior confiança nas relações e. . muitas vezes.

Questionário elaborado para subsidiar a monografia 1) Qual o sistema operacional predominante em sua rede? 2) Na sua rede vocês adotam alguma política de segurança? 3) Como é definida a política de segurança na rede que você administra? 4) Quais dos conceitos de segurança abaixo você aplica na sua rede? 5) Como você avalia seu ambiente no quesito segurança? 6) Na sua empresa tem algum plano de contingência no caso de ataques? 7) Qual (is) sistema (s) de detecção de intrusos estão ativos em sua rede? 8 ) Vocês seguem o padrão ISO de segurança? 9 ) Do ponto de vista da empresa na qual você trabalha o acesso aos sistemas corporativos de informação é? 10) De quais formas a sua empresa utiliza os seguintes recursos de TI no desempenho de suas atividades? .91 ANEXO B .

Entretanto em comparação ao mesmo período do ano anterior quando somava 7.Nos meses de abril a junho de 2006 as notificações associadas a fraudes mantiveram-se estáveis. Para o CERT. Semana: 24/07/06 a 28/07/06. o orkut e via programas de troca instantânea de mensagensn como o MSN. Fonte: http://wnews.Uol. houve um aumento de 38% interrompendo a tendência de forte crescimento que vinha sendo observada nos últimos trimestres. No trimestre o número de notificações referentes a worms (programas capazes de se propagar automaticamente enviando cópias de si mesmos de computador para computador) superou o total de fraudes reportadas representando 59% dos incidentes reportados. E os scans (varreduras) continuam em terceiro lugar com 18% do total de . 21 de julho de 2006 .6% em relação trimestre anterior. Os dados são do CERT.9 mil.Com. As estatísticas trimestrais publicadas pelo comitê sobre incidentes ocorridos na Internet são relatados espontaneamente por administradores de rede e usuários. O número de notificações caiu quase 10% no 2° trimestre segundo o (CERT). No período chamou a atenção o aumento no número de tentativa de fraudes financeiras por meio de mensagens e recados enviados a comunidades e usuários de sites de relacionamento como. passando de 12 mil para 10.br o crescimento se deve principalmente ao aumento do número de instituições reportando esse tipo de incidente. Segundo o CERT. Do total de tentativas de fraudes reportadas cerca de 98% são relativas a fraudes financeiras e o restante é referente a problemas de propriedade intelectual. por exemplo.92 ANEXO C .Centro de especialização em segurança Boletim 021/06.br/site/noticias/materia.Br (Centro de Estudos Resposta e Tratamento de Incidentes de Segurança no Brasil) mantido pelo Comitê Gestor da Internet.9 mil. apresentando uma ligeira queda de 9.php?Id_secao=48id_conteudo=5452 São Paulo.br a estabilidade se deve provavelmente ao recente esforço de sites de hospedagem gratuita de páginas web em remover de seus servidores programas maliciosos utilizados nestas fraudes.

2. Remover os Bankers geralmente é geralmente muito simples quando se conhece o nome dos arquivos utilizados.133 mil para 49.8 mil. apesar da desaceleração no crescimento de fraudes. 11. Todas as infecções são chamadas de Banker. Continua-se observando uma grande concentração na porta 22/TCP associada a tentativas de login via força bruta utilizando ataques de dicionários. pois os Bankers também estão utilizando Orkut e MSN para se espalhar. Top10: Julho/2006 Fonte: http: //linhadefensiva.br/2006/07/top-jul-06/ Bankers representaram mais de 31% das infecções em julho seguidos dos bots evariantes do Smitfraud. As variantes exatas são difíceis de se diferenciar.Com. A Linha Defensiva disponibiliza uma ferramenta chamada Bankerfix para remover dezenas de variantes da praga digital.2%: Bots Bots são pragas que permitem o controle remoto do computador infectado formando as botnets ou “redes zumbi”. O número de infecções ainda cresce. até que ela adquirisse o primeiro lugar.9%: Bankers São cavalos de tróia brasileiros que roubam de senhas de banco. Bots se espalham pela redeautomaticamente usando falhas do . Orkut. Pela primeira vez na lista o Wareout aparece em quarto luga. 31.Uol. O mês foi agitado com mais de 800 casos analisados pelo Serviço de Remoção de Malware da Linha Defensiva. Neste trimestre notou-se também um aumento no número total de notificações de incidente de segurança no País que passou de 28. portanto não é possível ter um percentual exato do número de infecções específicas de MSN ou Orkut. Paypal e outros. O número de infecções da praga tem crescido de forma significativa nos últimos meses.93 notificações de ataques. MSN. Nota: Worms de MSN brasileiros estão sendo contados junto com os Bankers.

A variante mais comum do Smitfraudatualmente instala um anti-spyware falso chamado Bravesentry. Spyaxe. portanto é muito importante manter o Windows e o Internet Explorer atualizados para evitar ser infectado com essa praga. Eles ainda representam uma partesignificativa dos problemas enfrentados pelos usuários. A Linha Defensiva oferece tutoriais de remoção para diversas versões do Smitfraud: Spyaxe/Spyfalcon/Spyware Quake. 6. Grande parte das infecções de Smitfraud ocorrem em PCs desatualizados. Outra ferramenta que vale a pena tentar para remover a praga — apenas em Windows 2000 e XP — é o Smitfraudfix. Os anti-spywares oferecidos (Spyfalcon.2%: Smitfraud Smitfraud é o nome das diversas infecções que instalam anti-spywares falsos nosistema e tentam convencer o usuário a comprar esse anti-spyware “picareta” paralimpar a infecção. e Mule e Gnutella. O número de infecções dos Bots diminuiu. mas tem semostrado estável nos últimos meses. Spysheriff. 3. Entretanto os mesmos responsáveis pelo Wareout desenvolveram . entre outros) não devem ser confiados. 3. já não está mais sendo distribuída. principalmente porque são capazes de infectar máquinas desatualizadas pouco tempo depois que elas forem conectadas à Internet. Antivirus Gold e Spysheriff.9%: Wareout Apesar de ser uma praga antiga o Wareout aparece pela primeira vez no top 10.94 Windows e redes de troca de arquivos. comokazaa. A variante inicial do Wareout que instalava um anti-spyware falso de mesmo nome. o próprio “anti-spyware” cria entradas no registro que parecem ter sido criadas por um vírus para que ele possa detectar essas entradas e afirmar ao usuário que ele está “infectado”. Outra característica do Wareout é uma rede desconfigurada com os servidores de DNS trocados para endereços IP localizados na Ucrânia. 4. Na maioria dos casos.Wareout é o nome de um anti-spyware falso e infecções de Wareout são semelhantes ao Smitfraud. pois tentam convencer o usuário a instalar um antispyware ineficiente.

“SearchCentrix” e “ProSearching”.2%: Coolwebsearch CoolWebSearch é um conjunto de infecções que “seqüestram” o navegador de Internet e exibem páginas que usuário não pediu.95 outro “anti-spyware” chamado de Unspypc e mais recentemente. anúncios pornográficos. O mais comum desses adwares é o trojan Adclicker que se instala com o arquivo vbsys2. Atualmente. Antigamente . de fevereiro de 2004.LOP. 6. O Fixwareout pode ser usado para remover o Wareout de uma máquina infectada. ou Lop. 5. São formados por adwares que não possuem uma “marca” ou são pouco conhecidos. bastando remover uma ou duas entradas no Hijackthis e apagar o arquivo responsável usando o Killbox. A remoção deles é geralmente bem simples. 2. É interessante notar que a variante CWS.8%: Adware Genérico Representa diversos adwares “genéricos” que exibem pop-ups e propagandas. As variantes mais comuns são a “Findthewebsite”.dll e exibe.7%: C2. em sua maioria. 7. 3. Ele exibe popups. mas na maioria dos casos ainda será necessário remover um arquivo aleatório e reconfigurar o endereço dos servidores de DNS para o utilizar os servidores do provedor de Internet.com. além de travar a página inicial do navegador. foi responsável por alguns casos de Coolwebsearch vistos no mês. 3. é o adware instalado pelo Messenger Plus.barras de anúncios e em algumas versões também troca a página inicial dousuário. as páginas iniciais são trocadas principalmente para sites de busca e falsos sites de segurança que sugerem ao usuário a instalação de programas antivírus e anti-spyware que não funcionam.Winres. Versões mais antigas do Coolwebsearch (CWS) estão detalhadas no artigo Crônicas do Coolwebsearch. o “Kill And Clean” ou Kill & Clean que foi o responsável pelo aumento de infecções do Wareout e pela entrada da praga no top 10.LOP O C2.

Apesar de ser inofensivo na maioriadas vezes. 2. deixando a máquina lenta. LOP). O Hotbar também exibe anúncios aos usuários. O Warez P2P também instala o C2. O Hotbar é sempre instalado pelo usuário. o MyWay é uma barra de ferramentas do Internet Explorer criada pelo portal ask. 8. pois eles estão presentes em muitas agências de anúncios. mas ela nem sempre funciona. É possível reinstalar o Messenger Plus! sem o patrocínio para que o C2. pois ele utiliza nomes aleatórios. MySearchAssistant)através do Adicionar/Remover Programas. Nota: A maioria dos antivírus chama o C2. pois ele é anunciado através de banners que oferecem novos emoticons sem mencionar a Hotbar até que o usuário se depare com um aviso de confirmação ActiveX (comumente utilizado como método de distribuição de spywares). É possível remover o MyWay e suas variantes (MyWebSearch. mas nem sempre o usuário sabe que o instalou. A remoção do C2. como o WeatherOnTray e Shopper Reports. 2.LOP.Lop de Swizzor.lop era conhecido por ser o único hijacker que modificavatambém a página inicial do Netscape além do Internet Explorer.4%: Myway Também pela primeira vez no top 10.2%: Hotbar O Hotbar é uma barra que muda a página de busca do navegador para o site Results Master e instala outros programas na máquina.2.LOP não seja instalado junto e também é possível desinstalar apenas o patrocínio do Messenger Plus! (que é o C2.com. Grandes portais da Internet costumam servir os banners da Hotbar.0%: RxToolbar . no Painel de Controle. Algumas pessoas também reclamam de lentidão no computador e principalmente no navegador web quando o MyWay está instalado. o MyWay é instalado em conjunto com softwares “gratuitos” distribuídos pela marca Fun Web Products. No o tópico do fórum sobre a praga você encontra um link para uma ferramenta de remoção.96 C2. 9.Lop é complicada. 10.

Sistemas Operacionais A tabela abaixo é baseada apenas nos logs que possuíam pelo menos uma infecção.2006-07 6. Nota importante: O número não representa quais os sistemas que são mais vulneráveis.5% Windows ME 1.6% Windows 98/98SE 5.5% Windows XP SP1 13.8877878964/IDG Noticia_view .9% Windows 2000 SP3/SP4 3.br/noticias/2006/07/26/idgnoticia. dessa forma injentando de forma pouco ética anúncios em websites.7% Windows 2000 Gold(sem SP)/SP1/SP2 0. A lista é diretamente afetada pelo número de usuários que utilizam o sistema em questão o que significa que o Windows XP geralmente estará com a maioria das infecções.7% Cavalo-de-tróia se apresenta como extensão para Firefox Fonte: http://pcworld.com.1% Windows XP Gold (Sem SP) 8.97 O RxToolbar é uma barra de ferramentas instalada com programas “gratuitos”. Ela sublinha palavras-chave nos textos de websites e torna essas palavras em links para anunciantes. Windows XP SP2 66. Instalar o Windows 98 não lhe tornará mais seguro do que o Windows XP SP2.uol. A ordem dos sistemas mais infectados continua estável.

chamada Download-AXM que segundo a McAfee circulou em mensagens indesejadas nas últimas semanas. Chamado de Formspy o cavalo-de-tróia é baixado para o computador já infectado por outra praga. O Downloader-AXM entra em contato com servidores para baixar outros programas maliciosos para o computador sem a permissão do usuário segundo a empresa.br/seguranca/2006/07/27/idgnoticia. . O FormSpy pode roubar também senhas de serviços de e-mail.Uol. na atualização mais impactante do Firefox 1.Com.9" na lista de atualizações do navegador de código livre.5. Fundação Mozilla corrige sete vulnerabilidades críticas no Firefox Fonte: http://idgnow. de acordo com a McAfee. quando a extensão original na verdade permitiria que o usuário navegasse por links usando o teclado ao invés do mouse.Organização divulga nova versão do navegador com doze correções de segurança. Após a infecção o Formspy pode transmitir informações dentro do navegador para sites online forjados por hackers o que poderia incluir números de cartão de crédito. usuários precisam ter cuidado ao abrir arquivos anexados em mensagens não solicitadas para que o cavalo-de-tróia Downloader-AXM não seja instalado e baixe o novo código malicioso. mensageiros instantâneos e contas FTP.98 Praga detectada pela McAfee é baixada por cavalo-de-tróia instalado no PC edivulga para hackers dados pessoais digitados no browser A empresa de segurança McAfee detectou um novo código malicioso que finge seruma extensão para o navegador Firefox segundo anúncio divulgado nesta quarta-feira (26/07). 2006-07-853005148/ Idgnoticia_view São Paulo . Para evitar a praga. Uma vez baixado o Formspy se instala como uma extensão do Firefox. A praga consta sob o nome de "Numberedlinks 0. senhas e códigos bancários.

5.4428196215/ Idgnoticia_view . Três das vulnerabilidades consideradas "críticas" pela organização permitem que ataques sejam feitos pelo uso da linguagem Javascript integrada ao navegador de código aberto.99 A Fundação Mozilla divulgou nesta quinta-feira (27/07) a versão 1. O número de brechas foi igual ao da última correção publicada. 2006-07-31. programada para agosto. esta deverá ser uma das últimas atualizações de segurança do Firefox 1.Uol. A Fundação Mozilla adverte usuários do navegador de código aberto a baixarem o Firefox 1.5.Com. Caso a Fundação Mozilla cumpra o cronograma prometido. que tinha apenas cinco vulnerabilidades com a classificação máxima da organização. disponível no site do grupo. pois permitem que hackers executem códigos remotamente no micro do usuário.br/seguranca/2006/07/31/idgnoticia. Esta pode ser considerada a atualização de segurança mais crítica já divulgada para o Firefox 1. Além da distribuição gratuita no site da empresa. Entre as brechas encontradas sete foram classificadas pela Fundação Mozilla como "críticas". enquanto as três restantes foram consideradas como "moderadas" pelo anúncio da segurança da Fundação. Duas outras falhas foram classificadas como de "alto risco".5 do seu navegador Firefox com correções para um total de 12 falhas no aplicativo. O lançamento deverá acontecer simultaneamente com a chegada do rival Internet Explorer 7 prometido pela Microsoft para chegar oficialmente aos PCs em setembro. com as doze brechas de segurança corrigidas. a Microsoft afirmou nesta quartafeira que usará seu sistema de atualização de segurança para oferecer o software a seus usuários.0.5 pela Fundação Mozilla.5.0.5 antes do lançamento da versão final do Firefox 2.0. Centro de Especialização em Segurança Boletim 021º/06. Semana: 31/07/2006 a 04/08/2006 Bombardeio de Israel ao Líbano desencadeia ataques online Fonte: http: //idgnow.

Ataques contra grupo terrorista Hizbollah motivam pichações pedindo paz em sites da NASA e da Universidade de Berkeley. O site da Universidade de Berkeley na Califórnia foi alvo de mais da metade dos ataques computados pela Zone-H.org.Uol. A série de bombardeios promovida por Israel contra o Líbano motivou diversos ataques contra sites veiculados aos Governos dos Estados Unidos e de Israel.Com. Na última sexta-feira (28/07).100 São Paulo .br/seguranca/2006/08/01/idgnoticia. 2006-08-586697086/ Idgnoticia_view. Também foram atacados o site da revista GQ dentro do MSN italiano e a página do Fundo de Reserva Médica dos Policiais Norte-Americanos. com 32 de seus domínios "pixados" por três grupos de hackers distintos com simples frases identificando a "pichação" ou pedidos de paz contra o conflito. 51 endereços online foram alvos de ataques do tipo ‘defacer’ em que um grupo hacker altera sua página inicial como forma de protesto ou ‘denial of service’ em que uma rede zumbi tira o site do ar. em 12 de julho. dois sites veiculados à Agência Espacial Norte-Americana (do inglês. agências internacionais contabilizam cerca de 561 libaneses mortos pelo conflito. De acordo com o site de rastreamento de ataques Zone-h. que "pichou" o endereço com a foto de uma criança mutilada acompanhada por pedidos de paz. Org alega que a busca de Israel por supostos terroristas é apenas um pretexto pela guerra no sul do Líbano. após o grupo terrorista Hizbollah ter anunciado a captura de dois soldados israelenses. NASA) foram atacados pelo grupo chileno "byond crew". Desde o início do conflito. No total foram seis os sites da NASA atacados desde o sábado da semana passada (22/07). Org. . McAfee divulga correção para falha que atinge software de segurança Fonte: http: //idgnow. O exército de Israel invadiu o Líbano. A maioria das mensagens de acordo com o Zone-h.

isso é a detecção das pragas logo quando elas estão circulando na Internet antes da atualização do antivírus. 80% dos vírus escapam da detecção de antivírus populares Http: //linhadefensiva. A maioria dos vírus é ‘variantes’ de pragas mais antigas. o que significa que se não houvesse esse ‘teste’ muitas pragas seriam detectadas sem a necessidade de atualizar o software. mas sim o jogo de gato e rato que existe na indústria antivírus que hoje depende principalmente nas assinaturas de detecção. A falha afeta das versões 4.101 Londres .Uol. Eles não citaram nomes. O Auscert Centro de Respostas a incidentes de segurança da Austrália afirmou que os antivírus mais populares não conseguem detectar 80% das novas pragas. Além disso a afirmação só vale para pragas novas. A empresa informou que está testando o pacote de correção e que alguns usuários vão receber a correção por meio do sistema automática de atualização. mas atualmente os três antivírus mais vendidos são o Norton. o Virusscan e o PCCillin. A vulnerabilidade classificada com média pela McAfee pode permitir que um usuário não autorizado rode código remoto na máquina.Empresa vai lançar na quarta-feira (02/08) correção para falha queatinge o a ferramenta de gerenciamento de segurança SecurityCenter. A McAfee foi avisada da falha pela empresa de segurança eeye Digital que classificou a vulnerabilidade como crítica. Isso não tem nenhuma relação com a qualidade desses produtos.Com.3 atéa 6. A McAfee vai divulgar nesta quarta-feira (02/08) uma correção para a sua aplicação Securitycenter e uma ferramenta de gerenciamento de segurança. Outros terão de fazer as atualizações manualmente. . O problema não é o antivírus somente.. É muito importante não interpretar incorretamente a afirmação do Auscert. Se você acha que um antivírus é melhor do que esses três.br/blog/2006/08/antivirus-popular-nao-funcional.022 do Securitycenter. o problema é que os programadores de vírus sabem que eles são os mais utilizados e fazem questão de testar suas pragas e verificar que os antivírus não são capazes de detectá-las.

O correto é cada um testar os programas e verificar o que gosta mais. São Francisco: Praga detectada pela McAfee atinge tecnologia não lançada pela MS e usa o software de compartilhamento Kazaa para se infestar. O protótipo MSH/Cibyz!P2p infecta o Powershell deixando uma cópia própria na pasta de documentos do Kazaa e acessa o cominho padrão para que downloads sejam feitos na aplicação no Registro do sistema operacional.br/seguranca/2006/08/02/idgnoticia.Uol. De acordo com a empresa de segurança McAfee o MSH/Cibyz!p2p é um worm ainda sem correção escrito pelo script Windows PowerShell que tenta se infestar pela aplicação de P2P Kazaa deixando uma cópia própria na pasta de arquivoscompartilhados O Windows Powershell é uma linha de comando de e scripting de tecnologia baseado em tarefas que oferecem controle e automação de tarefas de administração de sistema. A linguagem ainda inclui uma linguagem de scripting que permite a automação de funções administrativas do Windows Futuros produtos da linha Exchange Server 2007 e System Center Operations Manager 2007 serão construídas sobre o Windows Powershell disse a Microsoft. de acordo com informações da página da Microsoft. Para enganar usuários para o download e a . A Microsoft não divulgou sua tecnologia de scripting Powershell em produtos comerciais ainda. mas um grupo de hackers já escreveu um protótipo de vírus para a ferramenta. 2006-08-92273594/ Idgnoticia_view.102 Como já foi dito várias vezes aqui na Linha Defensiva.Com. pois só assim teremos a diversidade necessária para uma rede mais segura. Monopólios são ruins por facilitar a criação de pragas capazes de causar grandes danos sem maiores esforços. Protótipo de worm para Windows ataca linguagem Powershell Fonte: http://idgnow. É por este motivo que nossa página de downloads não recomenda apenas um software específico: não existe um melhor antivírus para todos. um ambiente online diversificado tanto em sistemas como softwares é o que traz segurança e isso não é menos verdade para os antivírus.

“Uma das coisas sacrificadas no processo é a segurança”. Os dispositivos wireless são freqüentemente usados para rastrear novas redes e isso pode levar a problemas de segurança especialmente se o software ligado a eles tem falhas.Com. Windows e Linux também têm falhas. Pesquisadores de segurança demonstram invasão a MacBook via rede sem fio Fonte: http://idgnow. disse ele. Dois pesquisadores incomodados com as alegações da Apple sobre a segurança do sistema operacional Mac OS X fizeram do Mac Book alvo de um teste que demonstrou quão fácil é invadir o sistema utilizando uma falha no código dos dispositivos de conexão à rede sem fio. Ao explorar falhas em quatro cartões wireless os pesquisadores conseguiram controlar laptops rodando Windows e Linux também. segundo Maynor pesquisador da Secureworks.Uol. 2006-08-118269023/ Idgnoticia_view São Francisco: Durante a Black Hat pesquisadores mostram o quão fácil é invadir o Mac OS X via Wi-Fi.br/seguranca/2006/08/03/idgnoticia. A McAfee considerou tanto o risco corporativo como o doméstico provocado pelo worm como "baixo".103 execução de arquivos o worm usa nomes de populares aplicações em sua cópia falsa de acordo com a McAfee. Isso acontece com freqüência quando os fornecedores se apressam em implementar padrões wireless complexos disse Ellch. A Aple não é o único fornecedor com problemas em seus sistemas wireless. estudante da escola Naval de pósgraduação nos Estados Unidos. “Muitos fabricantes têm que entregar os produtos com rapidez”. conferência de hackers nos Estados Unidos. David Maynor e Jon Ellch fizeram a demonstração por meio de um vídeo exibido durante a Black Hat. . Maynor mostrou como usar ferramentas sofisticadas de hackers para acrescentar e remover arquivos de um MacBook com Wi-Fi manipulando o sistema a partir de um notebook próximo. Mais informações sobre o protótipo de worm pode ser encontrado no site da McAfee.

Com. Conforme antecipou o Computerworld a Petrobrás também será credenciada pela ICP-Brasil a operar como uma autoridade certificadora responsável pela emissão de certificados para os usuários finais. Apesar disso aplaudiram a iniciativa da Intel. 2006-08-029/ Idgnoticia_view. . Os pesquisadores agora estão trabalhando com a Apple para resolver os problemas que podem envolver tanto correções para o sistema operacional quanto para o software para conexão wireless segundo Maynor. Segundo a empresa a companhia mantém hoje uma imensa base de 40 mil documentos digitalizados com arquivos autenticados em cartório.104 No entanto Maynor disse que sabia que se demonstrassem a falha no Mac OS X –considerada a plataforma mais segura os participantes do evento levariam suas descobertas a sério. A demonstração na Black Hat foi feita poucos dias após a Intel liberar correções para drivers wireless que poderiam levar a problemas similares aos demonstrados pelos pesquisadores. A idéia de questionar uma propaganda atual da Apple que diz que o seu sistema operacional é mais seguro que o Windows também parece ser um fator de influência. Maynor e Ellch não souberam informar se as correções endereçam as falhas que eles descobriram.Uol.br/seguranca/2006/08/02/idgnoticia. A Apple não quis comentar o assunto. Projeto conduzido pela companhia busca garantir mais segurança de funcionários e fornecedores aos dados corporativos A Petrobrás está implantando a utilização de 140 mil certificados digitais. mas disseram não ter trabalhado com a fornecedora nasatualizações. como forma de garantir mais segurança de funcionários e fornecedores aos dados corporativos. Pela estratégia a Petrobrás obrigará seus fornecedores a assinar documentos baseados no padrão brasileiro de chaves-públicas de acordo com o regulamento da Infra-estrutura de Chaves Públicas Brasileiras (ICP-Brasil). Petrobrás implanta 140 mil certificados digitais Fonte: http: //computerworld.

6 que já está disponível e é automática para os usuários do browser corrige uma falha do Windows Media Player introduzida pela versão anterior do softawre. 2006-08-514477649/ Idgnoticia_view.0. . São Paulo: O Firefox 1. A versão 1. introduzida pela atualização anterior. Atualização é automática. Microsoft prepara 12 boletins para corrigir falhas do Windows e do Office Fonte: http://idgnow.Com. De acordo com a Fundação Mozilla a falha bloqueava o protocolo Microsoft Media Services (MMS) usado pelo Windows Media. sete delas críticas a Fundação Mozilla soltou uma nova versão do navegador de internet de código aberto.br/seguranca/2006/08/03/idgnoticia.5.105 Atualmente a companhia integra também um comitê formado por 19 empresas que já utilizam a certificação na emissão de Nota Fiscal eletrônica (e-NF) em um projeto piloto.Uol. Em menos de uma semana Fundação Mozilla corrige nova falha do Firefox Fonte: http: //idgnow. Uma semana depois de lançar uma atualização que corrigia 12 falhas do Firefox.Uol. 2006-08-483990317/ Idgnoticia_view.Com.br/seguranca/2006/08/03/idgnoticia. o Spreadfirefox. evento conduzido pelo Instituto Nacional de Tecnologia da Informação (ITI). O projeto da Petrobras será apresentado na próxima semana durante o Certforum. anunciou que o browser chegou a marca de 200 milhões de donwloads. A intenção futura da Petrobrás é usar a certificação nas transações entre seus distribuidores e fornecedores.5.0. Na segunda-feira (31/07) o site de promoções do navegador.6 corrige uma falha do Windows Media Player.

. A Intel liberou correções para três vulnerabilidades em seus hardwares e softwares de conexão sem fio.106 São Paulo: Na próxima terça-feira (08/08) MS vai divulgar 12 boletins para corrigir falhas do Windows e do Office. No mês passado. Pelo menos uma delas é crítica. Dois problemas afetam determinadas versões do Pro/Wireless Network Connection Hardware. A Microsoft anunciou que vai divulgar 12 boletins de segurança. As vulnerabilidades estão emdrivers para a plataforma Microsoft segundo a empresa. a Microsoft divulgou sete boletins. Pelo menos uma é crítica. 2006-08-015078552/ Idgnoticia_view.Uol. dois deles pelo menos considerados críticos no sistema operacional Windows e no pacote de aplicativos Office na próxima terça-feira (08/08). em seu ciclo mensal de correções. Uma falha crítica é a mais alta classificação da Microsoft para uma vulnerabilidade de software. Das falhas que vão ser corrigidas.Com. As duas restantes são do Office. O número de boletins que serão divulgados na próxima terça-feira (08/08) é o mesmo do mês de junho quando a Microsoft corrigiu 21 vulnerabilidades de seus produtos. Pelo menos duas são críticas. Intel corrige falhas em wireless Fonte: http: //idgnow.br/seguranca/2006/08/03/idgnoticia. Ela permite que uma pessoa mal-intencionada assuma o controle do computador do usuário. parte da plataforma móvel Centrino disse a Intel. Este boletim foi considerado o maior da empresa desde fevereiro de 2005. Londres: Falhas em drivers de hardware e software abrem portas para hackers invadirem laptops. cinco deles considerados críticos que corrigiam 18 vulnerabilidades do Windows e do Office. 10 afetam o sistema operacional Windows.

a não ser que os fornecedores dos equipamentos ofereçam uma ferramenta automática de atualização disse a SANS. As correções terão que ser aplicadas manualmente. A empresa não pode ser contatada para comentar o assunto. da Intel e pode levar um hacker a obter credenciais de autenticação segundo a Intel. Segundo Graham Cluley consultor sênior da empresa de segurança Sophos um criminoso virtual poderia usar as falhas no driver para criar um worm que se replica passando de um computador a outro por uma rede Wi-Fi. A Intel alertou. no entanto que os drivers atualizados são genéricos e que os fornecedores OEM podem ter modificado o software causando possíveis problemas de compatibilidade. Até o momento não foram registrados casos de tentativas de exploração das falhas disse a empresa. . Uma terceira falha afeta o Proset/Wireless Software.107 A falha pode permitir a hackers próximos à estação sem fio rodar códigos não autorizados na máquina de uma vítima ou até obter privilégios de acesso ao núcleo do sistema operacional. O SANS Institute Organização de treinamento em segurança afirmou não acreditar que os drivers serão entregues pelos updates da Microsoft. Para a outra vulnerabilidade a Intel recomenda salvar o perfil do Proset/Wireless Software com o recurso “exportar” antes de fazer as mudanças. Os usuários podem verificar que versões do hardware estão rodando no site da Intel e os novos drivers também podem ser baixados pelo site.

Sign up to vote on this title
UsefulNot useful