You are on page 1of 36

Luis Gustavo Piassa

RA 0200142 – 8º Semestre

INVASÃO ELETRÔNICA E ESTRATÉGIAS DE PROTEÇÃO

Jaguariúna, 2005.

Luis Gustavo Piassa

1

RA 0200142 – 8º Semestre

INVASÃO ELETRÔNICA E ESTRATÉGIAS DE PROTEÇÃO

Monografia apresentada à disciplina Trabalho de Graduação III, do curso de Ciência da Computação da Faculdade de Jaguariúna, sob orientação do Prof. Ms Peter Jandl Jr., como exigência parcial para conclusão do curso de graduação.

Jaguariúna, 2005.

2

PIASSA, Luis Gustavo. Invasão eletrônica e estratégias de proteção. Monografia defendida e aprovada na FAJ em 12 de dezembro de 2005 pela banca examinadora constituída pelos professores:

Prof. Ms. Peter Jandl Junior – Orientador

Prof. Ms. Roberto Vargas Pacheco

Prof. José Arnaldo Geraldini Nunes

3

PIASSA, Luis Gustavo. Invasão eletrônica e estratégias de proteção. 2005. Monografia (Bacharelado em Ciência da Computação) – Curso de Ciência da Computação da Faculdade de Jaguariúna, Jaguariúna.

RESUMO

Este trabalho tem como objetivo demonstrar os principais problemas enfrentados pelos usuários da internet com relação à segurança. Em primeira instância será apresentado o conceito de Segurança na Internet. Logo após serão descritas as principais técnicas de invasão, juntamente com as suas características. Dentre as técnicas de invasão que serão aqui comentadas, pode-se citar as seguintes: Trojan Horse, Backdoor, Denial of Service, Back Orifice, NetBus, Sniffing, Vírus e Spoofing. Depois disso serão comentadas as principais técnicas de prevenção e também de proteção para esses ataques. Por fim, foi elaborada uma lista de recomendações a serem seguidas com o intuito de se garantir maior segurança na utilização da internet.

Palavras-chave: INTERNET, SEGURANÇA, INVASÃO, PROTEÇÃO.

4

SUMÁRIO

1 INTRODUÇÃO

07

2 SEGURANÇA NA INTERNET

08

2.1 Vulnerabilidades na Internet

08

2.2 Engenharia Social

08

3

TÉCNICAS DE INVASÃO

10

3.1

Trojan Horse

10

3.1.1

Características

10

3.1.2

Ataque / Infecção

10

3.1.3

Conseqüências

10

3.2

Backdoor

11

3.2.1

Características

11

3.2.2

Ataque / Infecção

11

3.3

DoS – Denial of Service

11

3.3.1

Características

11

3.3.2

Ataque / Infecção

12

3.4

Back Orifice

13

3.4.1

Características

13

3.4.2

Ataque / Infecção

13

3.5

NetBus

14

3.5.1

Características

14

3.5.2

Ataque / Infecção

14

3.6

Sniffing

15

3.6.1

Características

15

3.6.2

Ataque / Infecção

15

3.7

Vírus

15

3.7.1

Características

15

3.7.2

Ataque / Infecção

16

3.8

Spoofing

16

3.8.1

Características

16

3.8.2

Ataque / Infecção

16

4

TÉCNICAS DE PROTEÇÃO

17

4.1

Técnicas de prevenção contra Cavalo de Tróia

17

4.2

Técnicas de prevenção contra Backdoors

17

4.3

Como detectar um DoS

17

4.4

Técnicas de prevenção contra o Back Orifice

19

4.4.1

Detecção e Remoção

19

4.5

Técnicas de prevenção contra o Netbus

20

4.5.1

Detecção e Remoção

20

4.6

Técnicas de Prevenção contra o Spoofing: Rotas IP

21

5

ESTRATÉGIAS DE PROTEÇÃO

22

5.1

Antivírus

22

5.2

Backup

22

5.3

Auditorias Permanentes

22

5.4

Logs

23

5.5

Treinamento e difusão do conhecimento

23

5.6

Sistema de detecção de intruso

24

5.6.1

Verificadores de integridade

24

5.6.2

Detecção local

24

5.6.3

Detecção em rede

24

5

5.7.1 Funcionamento

5.7.2 Características básicas

6 DADOS ESTATÍSTICOS DE INVASÃO

7 RECOMENDAÇÕES

7.1 Recomendações a usuários

7.2 Recomendações a administradores do sistema

8 CONCLUSÃO

8.1 Possíveis extensões

9 REFERÊNCIAS BIBLIOGRÁFICAS

25

26

28

30

30

31

33

33

34

6

LISTA DE SIGLAS

HTTP:

Hyper Text Transfer Protocol (Protocolo de transferência de texto).

DoS:

Denial of Service (Negação de Serviço).

DDoS: Distributed Denial of Service (Negação de Serviço Distribuído).

TCP:

Transmission Control Protocol (Protocolo de Controle de Transmissão).

IP:

Internet Protocol (Protocolo de Internet).

JPG:

Joint Photographic Group (Grupo Fotográfico Comum).

RIP:

Routing Information Protocol (Protocolo de Distribuição de Informação).

UDP:

User Datagram Protocol (Protocolo de Datagrama de Usuário).

ICMP:

Internet Control Message Protocol (Protocolo de Controle de Mensagem na

DNS:

Internet). Domain Name Service (Serviço de Nome de Domínio).

FTP:

File Transfer Protocol (Protocolo de Transferência de Arquivo)

VPN

Virtual Private Network (Rede Privada de Internet)

WWW

World Wide Web (Teia de Alcance Mundial)

7

1 INTRODUÇÃO

Tendo em vista o crescimento do uso de computadores que se comunicam através da rede que é a Internet, pretende-se por meio deste trabalho avaliar problemas de segurança

e analisar as técnicas aplicáveis que os usuários devem ter em relação a esta questão. Muitas vezes, usuários da Internet instalam programas em seus computadores sem mesmo saber qual é a sua função ou procedência. Isto pode trazer-lhes uma grande dor de cabeça caso os mesmos tenham como objetivo facilitar a invasão ou o envio de informações sensíveis, que são aquelas que se deve manter sob sigilo. Através da instalação desses programas, os hackers, que são pessoas que detêm grande conhecimento de informática, tiram vantagens em cima destes, podendo invadir os computadores em busca de informações que possam ser úteis. Outro meio de fazer essa pesquisa sobre o funcionamento das estratégias de invasão

e proteção é a própria Internet. Existem vários sites especializados nesse tema. Devido a esses motivos, empresas com grande quantidade de informações confidenciais contratam profissionais especializados em segurança, para manter o sigilo e a integridade das mesmas. Sendo assim, este trabalho pretende analisar a conduta comum de usuários com relação à internet. Além disso, pretende-se mostrar conceitos de softwares e estratégias de invasão e proteção dos ataques mais comuns.

8

2. SEGURANÇA NA INTERNET

O conceito de segurança na internet está voltado com a integridade das informações

que são passadas por esse canal de comunicação sem que as mesmas sofram danos ou mesmo alterações [Ramos].

2.1 Vulnerabilidades na Internet

Uma maneira eficaz de se evitar invasões é prevenindo as vulnerabilidades. Assim, constatou-se que nos dias atuais, as principais vulnerabilidades são as seguintes:

Usuários inexperientes que não tomam as devidas precauções com relação à segurança;

Senhas fracas, formadas por palavras existentes em todos os dicionários;

Softwares com falhas em seu desenvolvimento ou desatualizados, deixando portas de acesso para usuários não autorizados;

Softwares e redes mal configurados;

Softwares piratas; quando se descobre uma falha nos mesmos, não se tem a quem recorrer, já que o software não possui uma licença do fabricante.

Usuários domésticos com acesso a serviços de banda larga [Spyder][Cholewa][Sette][Ramos][Gomes];

Além desses fatores acima descritos, deve levar-se em consideração que a Engenharia Social é um dos meios mais explorados pelos hackers para obter informações que lhe sejam úteis [Cholewa][Terra]. Como foi mencionado acima o termo Engenharia Social, ele será descrito abaixo com maiores detalhes.

2.2 Engenharia Social

A Engenharia Social é um dos meios mais utilizados para a obtenção de informações

sigilosas na internet. Pode dar-se a seguinte definição de Engenharia Social: é um meio de persuadir o usuário da Internet, passar-lhe confiança, com o objetivo de que esse lhe forneça informações como: senhas, número de cartões de crédito, etc. Geralmente a pessoa que usa dessa técnica faz-se passar por outra, como por exemplo: técnico do sistema do qual a vítima está utilizando. A maioria dessas técnicas é explorada através de e-mails; esses são

mandados para diversas pessoas, com textos interessantes, fazendo com que a mesma

9

clique no arquivo anexo, a partir desse momento o computador dessa já está infectado com algum tipo de vírus ou trojan que tem o objetivo de descobrir informações sigilosas [Terra][NBSO]. Conclui-se então que a Engenharia Social é um meio de persuadir o usuário inexperiente. A partir do momento que isso acontece o segundo passo da invasão é explorar esse vírus ou trojan instalado na máquina do usuário. Isso implica no uso de técnicas e até mesmo softwares de invasão. Esse segundo passo será descrito no tópico seguinte.

10

3. TÉCNICAS DE INVASÃO

Pode-se definir invasão como a entrada por alguém não autorizado em um site, servidor, computador ou serviço. A invasão pode ser realizada em partes, com o intuito de se realizar testes na rede, a fim de se encontrar os pontos vulneráveis [Sette]. Existem diversas ferramentas que facilitam a invasão. Abaixo serão descritas algumas das mais conhecidas.

3.1 Trojan Horse

3.1.1 Características

Traduzindo para o português Trojan Horse significa Cavalo de Tróia, que são sistemas de computadores que se propõem a executar determinada tarefa. Geralmente a cumprem, no entanto, realizam outra sem que o usuário saiba. Essa segunda tarefa realizada é abrir portas de seu computador para invasões ou acesso remoto [NBSO][Cholewa]. Esses sistemas acima descritos exploram vulnerabilidades dos usuários com relação à Engenharia Social, como também às falhas dos softwares desatualizados e mal configurados.

3.1.2 Ataque / Infecção

Na maioria das vezes instala-se um cavalo de tróia em um computador sem mesmo imaginar o que está sendo instalado. Ele geralmente infecta a máquina através de e-mail, por exemplo, ele próprio pode vir anexado a um e-mail, ou um arquivo anexo qualquer pode estar infectado por ele. Assim, recebem-se e-mails com palavras persuasivas fazendo com que o usuário abra o arquivo anexo, e se este não tiver algum conhecimento em segurança poderá abri-lo, fazendo com que a máquina fique infectada [USP][GRAI]. Programas piratas, adquiridos pela rede, poderão conter Cavalos de Tróia, portanto, deve-se evitar a instalação de programas de procedência desconhecida ou duvidosa.

3.1.3 Conseqüências

O Cavalo de Tróia, na maioria das vezes, vai possibilitar aos hackers o controle total da máquina. Esse poderá executar diversas tarefas na máquina invadida como, por exemplo, copiar arquivos, formatar o disco rígido, ver a janela que está em execução, entre outras, etc [GRAI][Lockabit].

11

3.2 Backdoor

3.2.1 Características

Backdoor significa porta dos fundos, e seu principal objetivo é esse mesmo, o qual o próprio nome especifica. A função desse é abrir uma porta na máquina que está sendo atacada para que a mesma funcione como um servidor, enquanto a pessoa que estiver realizando o ataque, o invasor, será o cliente, portanto ele terá o total acesso da máquina remotamente. Além de sistemas como esses que são instalados na máquina propositalmente, existem outros programas, de uso pessoal que podem ter backdoors, só que estes devido ao seu mau desenvolvimento, o projeto pode ter ficado com uma falha, gerando assim um canal de comunicação, ao qual o invasor poderá explorar. Um sistema que se pode citar nesse caso é o ICQ versão 99 [Invasão].

3.2.2 Ataque / Infecção

Esse tipo de ataque explora vulnerabilidades nos softwares instalados na máquina da pessoa que está sendo atacada, também pode ser explorado através da má configuração do sistema de segurança (firewall, antivírus); outra possibilidade é utilizar a técnica de engenharia social, induzindo a pessoa a instalar um backdoor em seu computador, sem que esta saiba o que está instalando [Lockabit][Cholewa][Invasão].

3.3 DoS – Denial Of Service

3.3.1 Características

como ataques de

negação de serviço, têm como objetivo fazer com que um usuário legítimo não execute um

determinado serviço. Algumas estratégias utilizadas nesses ataques são:

Os

ataques

denominados

como

denial-of-service

conhecidos

Exceder o tráfego em uma rede, impedindo dessa maneira a utilização pelo usuário.

Quebrar a conexão entre duas máquinas visando impedir o acesso a um serviço.

Obstar o acesso de um determinado serviço ou site.

Obstar ou proibir um serviço a um sistema ou pessoa específicos [Bertholdo; Andreoli; Tarouco][NBSO]

12

Com relação às falhas exploradas por essa técnica pode-se citar a má configuração de softwares de segurança nas máquinas (firewall, antivírus), e também devido à falta de atualização dos sistemas operacionais.

3.3.2 Ataque / Infecção

Os primeiros ataques DoS exploravam vulnerabilidades nas pilhas TCPIP, já que consistia em enviar para um determinado serviço pacotes TCP com algum tipo de sinalização indicando urgência. No entanto esse problema foi consertado na maioria nas pilhas de protocolo TCPIP. Contudo surgiu o DDoS, vulgo ataque de negação de serviço distribuído, cujo tem a mesma função do DoS, no entanto são milhares de computadores que enviam pacotes requisitando serviço na rede. Devido à quantidade ser tamanha, o problema corrigido nas pilhas TCPIP não suportará, gerando assim tráfego na rede, e fazendo com que a máquina ou rede alvo não execute determinado serviço [Bertholdo; Andreoli; Tarouco][Cholewa]. A principal característica do ataque DDos é a exploração de pontos vulneráveis em sistemas operacionais e em serviços, e a partir desses obtém-se acesso a máquina. Grande número de acessos é conseguido através de scripts automatizados que tem a função de varrer a internet em busca de hosts vulneráveis [Bertholdo; Andreoli; Tarouco]. O segundo passo é escolher a ferramenta para realizar o ataque. Pode-se citar basicamente três ferramentas utilizadas para realizar ataques DDoS como, por exemplo: o TFN, Trin00 e o Schaft. O TFN possui uma versão chamada TFN2K com várias melhorias como, por exemplo, a criptografia para conversação entre o cliente e os agentes. Depois de escolhida uma dessas ferramentas o próximo passo é criar uma hierarquia de ataque, composta pelos invasores, estações mestras e estações zumbis (máquinas de terceiros utilizadas para realizar o ataque DDoS, muitas vezes sem o consentimento de seu usuário). As máquinas consideradas mestras ficam responsáveis por receber os comandos de ataque, e depois reenviar esses às estações zumbis, para que estas concretizem o ataque [Bertholdo; Andreoli; Tarouco][Cholewa][Invasão]. A estação mestra fornece à estação zumbi o IP a ser atacado e o tempo que irá durar o ataque. A partir desse ponto o zumbi entra em atividade [Bertholdo; Andreoli; Tarouco]. Veja na figura 1 a ilustração de uma rede de ataque:

13

13 Figura 1: Exemplo de rede de ataque para DDoS [Bertholdo; Andreoli; Tarouco] 3.4 Back Orifice

Figura 1: Exemplo de rede de ataque para DDoS [Bertholdo; Andreoli; Tarouco]

3.4 Back Orifice

3.4.1 Características

O Back Orifice é um sistema com a função de controlar um computador remotamente. Foi produzido por um famoso grupo de hackers, conhecido como "A Seita da Vaca Morta". O Back Orifice é um trojan que pode ser acessado toda vez que a máquina da vítima se conectar com a internet, possibilitando ao invasor copiar arquivos, descobrir senhas, etc [UFPA][Cholewa].

Devido ao Back Orifice ser um trojan, aquele explora as mesmas vulnerabilidades deste que são co-relacionadas com a Engenharia Social e com as falhas dos softwares desatualizados e mal configurados.

3.4.2 Ataque / Infecção

Para funcionar o Back Orifice requer que sejam instalados dois arquivos, um na máquina da vítima e outro na maquina do invasor. Esse só funciona em Windows 95 e 98. Na máquina da vítima deve ser instalada uma versão servidor, enquanto na máquina do invasor instala-se uma versão cliente [Tripod][NBSO]. Se não fosse pelo seu caráter malicioso, o Back Orifice poderia ser considerado um excelente programa para acesso e monitoramento remoto de um computador [Tripod][NBSO]. Permite fazer diversas atividades na máquina da vítima, entre elas podemos citar as seguintes:

Grava o conteúdo da tela em um arquivo JPG;

14

Contém um servidor HTTP integrado, através do qual pode-se navegar pela árvore de diretórios;

Possui capacidade para examinar tudo o que se passa na rede, podendo, desta forma, capturar todas as senhas e outras informações confidenciais que não foram enviadas criptografadas;

Monitora o teclado, guardando todas as letras digitadas;

Remaneja conexões, ou seja, possuindo um servidor web ou de FTP em sua máquina, a conexão pode ser redirecionada para outro endereço;

Permite abrir uma janela prompt de comando remotamente;

Permite rodar um programa no computador da vítima;

É imperceptível a vítima. Não aparece na lista de processos da Taks List

É seguro; as informações trocadas entre o servidor e o cliente são criptografadas com uma senha;

Reinicia; trava a máquina infectada. Pode também fazer alterações no Registro do Windows [UFPA][Tripod].

3.5 NetBus

3.5.1 Características

O NetBus é um cavalo de tróia (tem seu código escondido dentro de outro programa executável) que, assim como o Back Orifice, explora as falhas de segurança do Windows.

Uma vez instalado no computador, permite que um usuário remoto não-autorizado tenha total controle sobre a máquina da vítima. O NetBus funciona em Windows 95 e 98 e também no Windows NT [Tripod][Cholewa][NBSO][Spyder].

As falhas exploradas pelo NetBus são as mesmas exploradas pelo Back Orifice e

pelos Cavalos de Tróia, já que o NetBus também é um trojan [Spyder].

3.5.2 Ataque / Infecção

O programa servidor do Netbus (também chamado de patch) é instalado

automaticamente ao se executar. Ele fica escondido no computador e entra em funcionamento assim que o computador for inicializado. O NetBus não precisa ser instalado no computador de quem está operando o programa [Lockabit][NBSO].

15

3.6 Sniffing

3.6.1 Características

Sniffing, conhecido popularmente como um meio de escutar a comunicação na rede, pode também ser usado de maneira maliciosa para se obter senhas. Essa atividade é feita através de um programa que vai monitorando o que é digitado pelos usuários. Logo, quando certas palavras como ftp ou telnet são digitadas, o programa grava as que vierem imediatamente a seguir ficando com o nome e a senha do usuário [Meneghel][Cholewa].

Por se tratar de um ataque passivo, mediante o qual uma máquina diferente do destino pretendido obtém acesso à informação que percorre a rede, torna-se praticamente impossível de se detectar. A atividade de sniffing em uma rede pode não ser um ataque, pois essa técnica pode ser utilizada para diagnosticar problemas na rede [Meneghel][Cholewa].

3.6.2 Ataque / Infecção

Dentre os efeitos gerados pelo sniffing, pode-se citar os seguintes:

Obtenção de senhas;

Obtenção de números de contas bancárias, cartões de crédito, etc;

Obtenção de informações privadas, de correio eletrônico;

Obtenção de Protocolos de baixo nível, que pode ser uma arma para um ataque futuro. Como exemplo pode-se citar os endereços IP´s das interfaces remotas [Meneghel].

3.7 Vírus

3.7.1 Características

É uma seqüência de código inserida em outro código executável. Dentre as principais características do vírus pode-se citar as seguintes:

Replicação: os vírus se replicam para diversos arquivos da máquina a fim de garantir a sua sobrevivência dentro daquele sistema.

É ativado por uma ação externa: pode-se dar como exemplo um arquivo anexo de e-mail que está localizado na caixa de entrada do programa gerenciador de e-mails. Se este arquivo não for executado não há como a máquina ser infectada por esse vírus [Meneghel].

16

3.7.2 Ataque / Infecção

A infecção ocorre no momento que se executa o programa com código malicioso. A partir daí esse se espalha, ou seja, ele se multiplica danificando diversos arquivos e sistemas da máquina onde ele se encontra. Pode-se citar também um outro tipo de vírus que é intitulado como trojan. Sua principal função é inserir um trecho de código em um programa aparentemente inofensivo, mas na verdade a intenção é colocar um hospedeiro na máquina invadida, deixando assim o invasor com o controle total da máquina [Meneghel][Sette].

3.8 Spoofing

3.8.1 Características

A principal característica do Spoofing é convencer alguém de que ele é algo que ele não é, conseguindo assim, autenticação para acessar alguma parte restrita à qual ele não tem permissão, através da falsificação do seu endereço de origem [Meneghel][Sette][Moitinho].

3.8.2 Ataque / Infecção

Existem diversos tipos de ataques spoofing, aqui será demonstrado o conceito do ataque conhecido como: Rotas IP. Os roteadores mantêm tabelas de informações com o intuito de poder decidir qual a interface utilizará e para onde deve ser enviado determinado pacote. Pode-se citar o RIP como sendo um protocolo utilizado para trocas de tabelas. O RIP envia, a cada 30 segundos, a sua tabela de roteamento, utilizando broadcast em UDP na porta 520. Logo, os roteadores reorganizam as suas tabelas de roteamento dinâmico de acordo com a informação recebida assim que recebem esses pacotes. Caso um roteador participe de forma passiva do RIP, isto é, apenas recebe os broadcast e faz as devidas atualizações nas tabelas dinâmicas, torna-se fácil inserir entradas falsas nessas tabelas. Por conseguinte, basta que qualquer computador as envie através da porta 520 [Meneghel] [Spyder].

17

4 TÉCNICAS DE PROTEÇÃO

Pode-se definir técnicas de proteção como um meio utilizado para não sofrer danos em informações que trafegam pela rede, esses danos provêm de pessoas não autorizadas que adentram na rede em busca de informações que lhes possam ser úteis [Spyder].

4.1 Técnicas de prevenção contra Cavalos de Tróia

A maioria dos bons programas de antivírus é capaz de detectar e eliminar esses trojans. Mesmo assim a proteção é parcial, uma vez que os Cavalos de Tróia mais novos poderão passar despercebidos. O ideal é nunca abrir documentos anexados aos e-mails dos quais não se conhece o remetente. Existem ainda programas de firewall pessoal que podem ser utilizados para barrar as conexões dos hackers com os Cavalos de Tróia que possam estar instalados no computador. Tais programas não eliminam os Cavalos de Tróia, mas bloqueiam seu funcionamento [Cholewa][NBSO].

4.2 Técnicas de prevenção contra Backdoors

A maneira mais correta é sempre atualizar as versões dos programas instalados na máquina. É de responsabilidade do fabricante do software avisar aos usuários e prover uma nova versão corrigida do programa quando é descoberto um Backdoor no mesmo. Uma alternativa é sempre visitar os sites dos fabricantes de software e verificar a existência de novas versões do software ou de pacotes que eliminem os Backdoors (esses pacotes de correção são conhecidos como patches ou service packs.). Os programas Antivírus não são capazes de descobrir Backdoors, somente a atualização dos programas é que pode eliminar em definitivo este problema. Programas de firewall pessoal, no entanto, podem ser úteis para amenizar, mas não eliminar este tipo de problema [Cholewa][NBSO][Terra].

4.3 Como detectar um ataque DoS

O DoS é um ataque que não se pode prevenir. A única prevenção é configurar com o máximo de segurança a rede a fim de tentar dificultar esse tipo ataque. Algumas anormalidades podem indicar a ocorrência deste tipo de ataque, tais como:

Excesso de tráfego: Número de acessos na rede maior do que o esperado, como ilustrado na figura 2 [Bertholdo; Andreoli; Tarouco].

18

18 Figura 2 – Excesso de Tráfego na rede [Bertholdo; Andreoli; Tarouco] • A ocorrência de

Figura 2 – Excesso de Tráfego na rede [Bertholdo; Andreoli; Tarouco]

A ocorrência de pacotes UDP e ICMP de tamanho acima do normal. Usualmente as seções UDP utilizam pacotes pequenos de dados, que dificilmente ultrapassam o tamanho de 10 bytes. Já, o tamanho normal das mensagens ICMP fica entre 64 e 128 bytes, como mostra a figura 3 [Bertholdo; Andreoli; Tarouco].

como mostra a figura 3 [Bertholdo; Andreoli; Tarouco]. Figura 3 – Pacotes UDP com tamanhos maiores

Figura 3 – Pacotes UDP com tamanhos maiores do normal [Bertholdo; Andreoli]

Pacotes TCP e UDP que não participam de uma conexão: Alguns tipos de ataque DDOS utilizam vários protocolos para enviar dados sobre canais não orientados à conexão. Utilizando firewalls que mantêm o estado das conexões pode-se detectar esse tipo de problema. Outro ponto a ser observado é que esses pacotes costumam destinar-se a portas acima de 1024 [Bertholdo; Andreoli; Tarouco].

Outra alternativa para tentar barrar esse tipo de ataque seria o seguinte:

Filtrar qualquer tráfego ICMP, entrando ou saindo da rede [Cholewa];

Filtrar o tráfego que entra na rede, em portas (serviços) que não estão em uso [Cholewa];

19

Filtrar o tráfego de portas de cujos computadores fiquem ligadas 24 horas por dia, as quais não precisam emitir tal tráfego [Cholewa];

Configurar o Firewall de modo a impedir conexões internas a partir de localhost [Cholewa].

4.4 Técnicas de prevenção contra o Back Orifice

As maneiras mais comuns de ser infectado são executando o próprio Back Orifice, ou executando algum outro sistema que esteja contaminado com ele. A partir do momento da instalação as suas ações vão depender das requisições do programa cliente. Diante desses problemas a prevenção mais simples e significativa é sempre que receber um e-mail com algum arquivo anexo de procedência duvidosa, ou mesmo com algum texto que tem o intuito de convencê-lo a abrir o anexo, não o faça. Dentre dessas pode-se citar outras maneiras de se prevenir como, por exemplo, sempre manter o software antivírus atualizado, procurar instalar um bom firewall, não se deve deixar persuadir por histórias escritas em e-mails, e procurar fazer atualizações no sistema operacional e nos softwares utilitários que se encontram na máquina [NBSO].

4.4.1 Detecção e remoção

O Back Orifice é relativamente fácil de ser detectado e removido. Uma das maneiras de rastreá-lo na máquina é a seguinte: pesquisar por um arquivo no registro do Windows com o nome de “Server BO”, ou até mesmo no menu pesquisar, como ilustrado na figura 4:

20

20 Figura 4 – Localizando o Server BO Se algum arquivo for encontrado com esse nome,

Figura 4 – Localizando o Server BO

Se algum arquivo for encontrado com esse nome, acima descrito, provavelmente a máquina está infectada. Caso afirmativo, o passo seguinte seria baixar da internet um programa com o nome de “Antigen”. Outro utilitário que tem a função de remover o Back Orifice é o “Back Orifice Eliminator”.

4.5 Técnicas de prevenção contra o NetBus

Como descrito acima, a maneira de se proteger do NetBus é a mesma dos Trojans, e também do Back Orifice, ou seja, deve-se manter sempre os softwares atualizados, instalar um firewall, um bom antivírus, e sempre ter certeza de que o anexo do e-mail,o qual está sendo baixado não está infectado com o NetBus.

4.5.1 Detecção e Remoção

Para detectar o NetBus na máquina a maneira mais simples é procurar no registro do windows uma pasta com o nome “Patch” dentro da chave “HKEY_CURRENT_USER”. Ainda no registro do windows deve-se procurar uma pasta com o nome NetBus. Caso as alternativas acima sejam encontradas deve-se proceder ao seguinte para removê-lo:

Deve ser feito o download e a instalação da versão do programa que é usada pelo administrador remoto em http://technet.found.net/netbus;

Conectar ao provedor de acesso da Internet.

21

Deve-se digitar no menu executar “WINIPCFG”; assim que o sistema executar esse comando, deve-se anotar o número IP aí descrito;

O último passo seria executar o NetBus, informar o endereço IP anotado e pedir "Server Admin", e depois "Remove Server" [NBSO][Invasão].

4.6 Técnicas de Prevenção contra o Spoofing: Rotas IP

As principais formas de evitar este tipo de ataque são:

Estabelecer rotas estáticas;

Não utilizar RIP passivo;

Se o gateway for uma máquina, deve-se utilizar um daemon de roteamento, no qual deve-se estabelecer endereços IP para origens confiáveis de RIP [Meneghel].

22

5 ESTRATÉGIAS DE PROTEÇÃO

Até o momento falou-se de técnicas de proteção com relação a ataques específicos, agora serão comentadas outras técnicas de proteção que podem ser úteis para outros tipos de ataques.

5.1 Antivírus

O antivírus é um programa que faz a verificação da existência de vírus em: máquinas,

pastas e em arquivos. A ação do antivírus depende de uma pré-configuração. A forma convencional de configuração é a seguinte: antivírus analisa e quando encontra algum vírus tenta eliminá-lo, caso não consiga, ele lançará uma pergunta ao usuário da máquina solicitando a autorização para remover o arquivo infectado, juntamente com o vírus. Quando se instala o antivírus em uma máquina, pode-se configurá-lo para fazer a análise de todos os arquivos que forem abertos na máquina, caso ele detecte algum vírus, ele lançará um aviso ao usuário da máquina. Outro ponto importante que se deve ficar atento é com relação a que surgem a cada dia novos vírus na internet, por isso a atualização do antivírus deve ser feita periodicamente, com a finalidade de sempre manter atualizado a lista de vírus que o seu antivírus poderá reconhecer [Microsoft][Invasão][Terra].

5.2 Backup

O Backup pode ser considerado uma ferramenta de segurança já que a sua finalidade

é manter cópias de informações que poderão sofrer danos ou perdas quando acontecer algum tipo de ataque. Todos os dados e sistemas de uma empresa devem possuir cópias de segurança armazenadas em local seguro. Normalmente, o backup é feito em disquete, fita ou outra mídia portátil que pode ser armazenado para uma utilização futura, já que não é possível prever quando se pode sofrer um ataque. Além de ataques, outras maneiras de se perder ou sofrer danos em informações seriam as seguintes: acidentes, desastres, erros de sistemas ou hardwares, ou falhas humanas, etc [Gomes][Invasão].

5.3 Auditorias permanentes

Em grandes empresas a auditoria é um item primordial com relação à segurança. Em uma auditoria os profissionais de informática sorteiam funcionários, os quais passarão por auditoria de detecção de desvios na política de acesso e utilização de recursos. A auditoria deve ser realizada freqüentemente, uma vez que essa não é realizada de maneira permanente a incidência de desvios na política de segurança aumenta. Os principais itens

23

auditados são: utilização de correio eletrônico, acessos à internet, arquivos gravados nas pastas locais das máquinas dos usuários, verificação se os acessos estão compatíveis com a função dele dentro da empresa, etc [Dias][Sette].

5.4 Logs

Geralmente todos os sistemas de segurança possuem um verificador e registrador dos eventos ocorridos, são os chamados logs de informações. Os logs são utilizados para se fazer verificações dos acessos dos usuários no sistema e nas aplicações, mas muitas vezes ele está desativado, pois se o hardware ou o sistema for um tanto quanto limitado, a geração dos logs pode tornar-se lenta. Outro fato pela não utilização dos logs é que esses são relatórios enormes e dessa forma requerem muito tempo para serem analisados. O log pode ser considerado uma ótima ferramenta em auditorias para se verificar o acesso dos usuários, também pode ser útil para corrigir possíveis falhas no sistema [Dias][Gomes].

5.5 Treinamento e difusão do conhecimento

Uma das melhores medidas para se alcançar os requisitos básicos de segurança em uma empresa é a educação de seus funcionários, estabelecendo de maneira simples os conceitos e técnicas de segurança. Para manter configurados de maneira precisa os equipamentos e softwares de segurança em uma empresa, esta precisa ter profissionais especializados nessa área. Outra maneira mais econômica e mais viável para empresas que não querem gastar muito dinheiro em treinamento ou contratação de uma equipe especializada seria o treinamento de seus próprios funcionários. Primeiramente treina-se uma equipe de dois ou mais funcionários, e estes passarão os seus conhecimentos adquiridos com o treinamento aos demais. Com isso cria-se um ciclo de aprendizado, os funcionários mais antigos passam os conhecimentos para os novos funcionários da empresa. Outro ponto importante seria que um funcionário que tivesse maior conhecimento em uma área ficasse responsável pela mesma, assim ele resolveria os principais problemas ou dúvidas dos demais funcionários [Sette][Gomes]. Pode-se criar um ciclo de palestras tomando como tema a segurança, levando de forma clara e abrangente os principais problemas e soluções relacionadas a esta. Assim a empresa como um todo irá minimizar possíveis problemas com vulnerabilidades de software, já que os funcionários da empresa terão conhecimento nesse assunto, assim, farão sempre que possível atualização nesses softwares, eliminando problemas futuros [Sette][Gomes].

24

5.6 Sistema de detecção de intruso

Um outro meio de se evitar ataques é através de sistemas de detecção de intrusos que são mecanismos que visam identificar padrões e seqüências previamente conhecidas em arquivos, diretórios ou no tráfego de rede [Gomes]. Esses mecanismos podem ser programas isolados ou embutidos em um equipamento. São divididos em três categorias principais:

Verificadores de Integridade;

Detecção local;

Detecção em rede;

5.6.1 Verificadores de Integridade

Os verificadores de integridade mantêm uma base com informações acerca de arquivos, diretórios e outras informações do sistema. Sua principal função é fazer verificação a fim de testar a integridade das informações, verificando alterações de tamanho, data ou conteúdo. Quando algum desses itens é detectado surge a hipótese de violação do sistema. Assim, recomenda-se que essas informações, que devem ser íntegras e invioláveis, sejam armazenadas em um sistema à parte, de maneira segura [Gomes][Invasão].

5.6.2 Detecção local

São sistemas que monitoram o tráfego em circulação em determinada máquina. São capazes de identificar o pedido remoto de uma porta TCP ou UDP. Todas as tentativas de acesso remoto serão registradas, além do que muitos sistemas de detecção permitem definir ações de defesa. Existem sistemas que fazem as verificações das assinaturas de pacotes. Quando um desses pacotes for reconhecido como sendo de um ataque, ele é automaticamente eliminado [Invasão][Gomes]. A definição da localização de um sistema de detecção dentro de uma rede é muito importante já que é ele que vai fazer a verificação de todos os pacotes que irão circular por ela, além de ser responsável pela monitoração de todas as portas abertas.

5.6.3 Detecção em rede

Neste sistema, a avaliação pode ter como base informações previamente cadastradas em um banco de assinaturas de ataques conhecidos ou através de uma análise do tráfego. O sistema de detecção em rede deve ter a capacidade de ouvir um segmento de rede, independente da quantidade de segmentos.

25

Como a defesa desse sistema é baseada em assinaturas de ataques já conhecidos, há assim a vulnerabilidade de se detectar um novo ataque. Para resolver esse problema existem sistemas que permitem a criação de regras genéricas para determinadas circunstâncias a serem definidas pelo administrador [Invasão][Gomes].

5.7 Firewall

Quando o tema a ser discutido é segurança um dos principais elementos que surgem é o firewall. Ele funciona como uma espécie de barreira entre o tráfego de duas redes distintas. A partir dessa barreira, é possível controlar e autenticar o tráfego, além de registrar por meio de logs tudo o que circula pela rede, facilitando uma auditoria. Um firewall pode ser utilizado também para separar diferentes subredes, grupos de trabalho ou redes dentro de uma mesma organização [Kurose].

5.7.1 Funcionamento

A função do firewall é fazer a conexão de uma rede segura a uma rede não segura, a Internet (Figura 5). Antes de liberar o tráfego de pacotes que chegam até ele, o firewall aplica suas regras e filtros previamente configurados. Isso é executado tanto para o tráfego de entrada, quanto para o de saída. Um firewall mal configurado pode permitir a entrada de pacotes maliciosos, já que ele é único canal de entrada e saída de dados [Moitinho][Kurose]. Existem várias vulnerabilidades que nos levam a instalar um firewall, como as seguintes [Spyder]:

Fraqueza do sistema de senhas;

Spoofing de pacotes UDP;

Falsificação de uma identidade baseada no endereço IP;

Ataques ao nível do DNS;

Sessão TELNET facilmente escutável por um sniffer (técnica de escutar as mensagens que trafegam na rede);

Confiabilidade duvidosa do número da porta fornecido pelas máquinas do exterior;

Numerosos meios para se ter acesso ao arquivo de senhas[Spyder].

26

26 Figura 5 - Um firewall [Invasão] 5.7.2 Características básicas Sendo o firewall um componente de

Figura 5 - Um firewall [Invasão]

5.7.2 Características básicas

Sendo o firewall um componente de software controlador do acesso entre as redes privadas e a Internet, este deverá ter alguns requisitos para assegurar um grau de confiança a uma rede. Pode-se citar os seguintes:

Controle de acesso; Funcionalidade primordial a um firewall. Controlar o acesso à rede [Moitinho].

Pacotes não especificados devem ser rejeitados; Isso implica que o Administrador da rede deve especificar o que é legítimo[Spyder].

Sempre que possível, manter os usuários externos fora da rede privada; Quando algum usuário que não pertence à rede interna, na qual está instalado o firewall, desejar ter acesso a algum ficheiro que se encontre na parte interna da rede privada, o mesmo deve ser colocado do lado de fora da rede, ou seja, externo à proteção do firewall [Gomes].

Ter a função de avisar acessos suspeitos; Aqui, o firewall se responsabiliza pelo tráfego que passa por ele, bloqueando os pacotes suspeitos, lançando um alerta ao administrador em caso de suspeita de violação do tráfego [Spyder].

27

Suporte a serviços no nível da camada de aplicação; Refere-se aos protocolos que o firewall reconhece e passa ou repassa. Dentre os serviços suportados, pode-se ter DNS, FTP e WWW [Gomes].

Autenticação de usuários; Um firewall que atua em nível de aplicação normalmente utiliza esse conceito, interrompendo aplicações e exigindo aos usuários que se autentiquem antes de prosseguirem [Gomes].

Administração; Um bom firewall, mesmo que complexo, deve possuir uma interface amigável e recursos que auxiliem o administrador a gerenciá-lo de forma correta e segura [Gomes].

28

6 DADOS ESTATÍSTICOS DE INVASÃO

Agora serão demonstrados através de gráficos os ataques que acontecem com maior freqüência. Através desses dados procurou-se estabelecer os tipos de ataques mais comuns e suas origens, bem como traçar um perfil desses incidentes no país (Brasil) [Cert]. Na figura 6 podem ver vistas as ocorrências de todos os ataques registrados pelo CERT – Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil – desde de janeiro de 1999 até o mês de setembro de 2005 [Cert].

de janeiro de 1999 até o mês de setembro de 2005 [Cert]. Figura 6 – Ataque

Figura 6 – Ataque ocorridos desde o ano de 1999 até o ano de 2005 [Cert].

A figura 7 mostra a ocorrência dos principais ataques registrados no Brasil. De acordo com ela, pode-se ver que o segundo maior vilão nas ocorrências de ataques são os worms (espécies de vírus), seguidos de perto pelos ataques que exploram vulnerabilidades nos serviços TCP/IP denominados Scan. Das técnicas que foram comentadas nesse trabalho, pode-se dizer que o Spoofing se encaixa nessa denominação de Scan [Cert].

29

29 Figura 7 – Estatística dos ataques mais comuns [Cert] A partir da figura 7 pode-se

Figura 7 – Estatística dos ataques mais comuns [Cert]

A partir da figura 7 pode-se concluir que os maiores fraudadores da internet (parte

pintada de vermelho no gráfico) são aqueles que usam a técnica da Engenharia Social, que

nada mais é do que persuadir um usuário a realizar determinada tarefa, como exemplo

disso, pode-se citar os sites clonados de bancos.

Apesar do Denial of Service ser um ataque poderoso ele quase não ocorre, isso pode

ser visto na tabela abaixo [Cert].

Obs.: O gráfico da figura 7 foi montado com os dados da tabela abaixo.

Incidentes Reportados - Julho a Setembro de 2005 [Cert]

Tabela: Totais Mensais e Trimestral Classificados por Tipo de Ataque.

Mês

Total

worm (%)

af (%)

dos (%)

invasão (%)

aw (%)

scan (%)

fraude (%)

jul

5146

1329

25

3

0

2

0

15

0

22

0

1045

20

2730

53

ago

5718

1144

20

7

0

5

0

45

0

41

0

1522

26

2954

51

set

5361

1075

20

2

0

2

0

87

1

64

1

1527

28

2604

48

Total

16225

3548

21

12

0

9

0

147

0

127

0

4094

25

8288

51

Legenda:

af: Ataque ao usuário final;

dos: Denial of Service;

aw: Ataque a servidor Web.

30

7 RECOMENDAÇÕES

Esse trabalho tem o intuito de estabelecer requisitos mínimos de segurança a serem seguidos para se ter uma navegação mais fiável com relação aos dados e informações que serão transmitidos através da rede, a internet.

Tomando como base as técnicas de invasão comentadas acima pode-se estabelecer as seguintes diretrizes conforme relacionadas a seguir.

7.1 Recomendações a usuários

Não devem ser abertas as mensagens eletrônicas de origem desconhecida. Certifique-se quanto à autenticidade e credibilidade dos e-mails recebidos. Documentos e arquivos provenientes de desconhecidos ou que tenham uma origem pouco fiável não devem ser aceitos.

Seguindo essas recomendações as chances de ser infectado por um trojan tornam-se pequenas, pois a maioria das infecções ocorre através de arquivos enviados por terceiros, cuja procedência é duvidosa. Também se eliminam as chances de ser enganado por algum e-mail persuasivo.

Não devem ser escritos os nomes de usuários e senhas em nenhum documento do disco rígido da máquina;

Utilizando essa medida, as chances de um invasor descobrir uma senha de banco, cartão de crédito, ou qualquer outra informação confidencial diminui. Também é uma maneira de se precaver daquelas pessoas que estão a sua volta, que se passam por amigos e que tem acesso à sua máquina, mas na verdade querem tirar proveito de informações importantes, nesse caso poderiam ser as senhas do banco.

Não devem ser utilizadas senhas de fácil dedução, devendo as mesmas ser alteradas periodicamente;

Muitas invasões acontecem devido à facilidade de se descobrir senhas. Portanto deve-se evitar escolher senhas de fácil identificação como: data de aniversário, nome do filho, etc.

31

Não devem ser transmitidos dados pessoais ou financeiros a terceiros. A introdução de dados financeiros deverá ser unicamente realizada em sites seguros;

Dados como senhas de bancos, cartões de crédito e outras informações confidenciais não devem ser transmitidos a ninguém, uma vez que a pessoa de posse da informação pode fazer transações sem o nosso consentimento.

7.2 Recomendações a administradores do sistema

É

muito importante a utilização de um software antivírus, assim como a sua

atualização periódica.

Através dessa medida, pode-se eliminar da máquina trojans, e outros programas de computador com códigos maliciosos, já que os antivírus detectam vários desses arquivos.

É

conveniente instalar um firewall pessoal, como forma de se proteger de

invasões.

Uma vez instalado um firewall as chances de um invasor acessar a máquina tornam-se menores, pois o firewall tem a função atuar como uma barreira entre a rede em que a máquina encontra-se conectada e a rede externa; funciona bloqueando as portas, nas quais os invasores poderiam adentrar no sistema.

Devem ser feitas cópias periódicas de segurança dos dados;

A partir do momento em que há a idéia de invasão surge a questão com

relação à perda de dados, de informações. Isso se torna um problema de grande relevância, ainda mais quando se sabe que aquilo pode prejudicar o andamento de algum processo pertinente. Como solução desse problema o tópico acima enseja a idéia de cópias de segurança, uma vez que invadidos, pode-se ter dados perdidos ou mesmo danificados. Mantendo-se cópias periódicas elimina-se esse problema.

32

Atualizações do navegador da internet;

Quando se faz atualizações no navegador da internet, faz-se automaticamente atualizações de protocolos de segurança, uma vez que a maioria das atualizações dos fabricantes tem o intuito de corrigir falhas de segurança.

Atualizações do sistema operacional, bem como dos softwares instalados na máquina.

Os fabricantes de softwares disponibilizam atualizações freqüentes em seus sites. A maioria dessas atualizações tem o intuito de corrigir possíveis falhas no desenvolvimento do software com relação à segurança. Através dessas correções o sistema se torna mais seguro, diminuindo a probabilidade de ser atacado com sucesso.

33

8 CONCLUSÃO

Esse trabalho mostrou as principais técnicas de invasão e proteção, e constatou-se que segurança é um problema de todos aqueles que utilizam computadores. Não existe mais o conceito de segurança somente ao profissional de informática, visto que hoje em dia quase todas as pessoas utilizam computadores, seja para trabalho ou com um meio de lazer. Foi possível nesse trabalho discorrer sobre uma série de cuidados a serem tomados. A maioria deles são processos fáceis e que podem trazer excelentes resultados. Além de usuários finais, no caso os usuários domésticos, procurou-se abordar também o termo segurança relacionado às empresas, que são os grandes investidores em tecnologia, devido ao seu grande número de informações confidenciais. Procurou-se dar uma base de conhecimento em segurança de informação, visto que a maioria dos ataques eletrônicos que ocorrem atualmente exploram a falta de conhecimento dos usuários. Espera-se que com esse trabalho o termo segurança seja tratado com maior ênfase, tanto pelos usuários domésticos quanto pelas empresas.

8.1 Possíveis extensões

Conforme foi estudado, viu-se que a área de segurança na internet é um termo amplo e relevante. Logo, conclui-se que diversos temas poderiam ser abordados aqui ou em um trabalho futuro, como por exemplo, VPN (Virtual Private Network) e Criptografia. Além desses temas pode-se aprofundar esse trabalho com outros assuntos, visto que a área de segurança cresce a cada dia, devido ao avanço da tecnologia e conseqüentemente do surgimento de novas técnicas de invasão.

34

9 REFERÊNCIAS BILBIOGRÁFICAS

BERTHOLDO, L. Márcio, ANDREOLI, A. Vedana, TAROUCO, Liane. “Compreendendo Ataques Denial of Service”, recuperado em 14/04/2005.

CERT. “Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil”. Internet: http://www.cert.br, recuperado em 13/11/2005.

CHOLEWA, R. Moacyr. “Segurança em Redes”. Internet: http://www.rmc.eti.br, recuperado em 24/06/2005

DIAS, Claudia. “Segurança e auditoria da Tecnologia da Tecnologia da Informação” Axcel Books, 2000.

GOMES, Olavo José Anchieschi. “Segurança Total”. Makron Books, São Paulo, 2000.

GRAI.“Grupo Resendence

http://www.minasnet.psi.net/grai/nuke_htm, recuperado em 01/03/2005.

Anti

Invasão

.

Internet:

INVASÃO. “Invasão e Proteção”. Internet: http://www.invasao.com.br, recuperado em

27/04/2005.

KUROSE, J. , Ross, K. “Redes de Computadores – Uma Nova Abordagem” Makron Books, São Paulo, 2003.

LOCKABIT.

http://www.lockabit.coppe.ufrj.br/, recuperado em 14/02/2005.

“Portal

da

Segurança

de

Informação”.

Internet:

MENEGHEL, Luciana. “Segurança Overview”. 26 f. Tese (Monografia de final de Curso), recuperado em 14/08/2005.

MICROSOFT.

http://www.microsoft.com/brasil/security/guidance/prodtech/win2000/secmod155.mspx,

recuperado em 24/06/2005

“Design

de

um

Firewall

Interno”.

Internet:

MOITINHO, Atoessel Dourado. “Segurança em Sistemas Distribuídos”. 28 f. Tese (Monografia de final de Curso) Especialização Avançada em Sistemas Distribuídos – Universidade Federal da Bahia.

NBSO. “Práticas de segurança para Administradores de Rede”. Internet:

http://www.nbso.nic.br/docs/seg-adm-redes/seg-adm-redes.html, recuperado em

24/06/2005.

RAMOS, Débora Lopes. “Estudo sobre as principais ameaças e técnicas para obtenção de falhas de Segurança em Sistemas Corporativos”. 2005. 84 f. Tese (Bacharelado em Ciência da Computação) – Universidade Federal de Pelotas, Pelotas.

SETTE, Adriana Aparecida. “Um guia para implantação de segurança básica em sistemas” 2001. 113 f. Tese (Bacharelado em Tecnologia de Informática) – Universidade Luterana do Brasil, Canoas.

SPYDER, John “Manual Completo do Hacker” Makron Books, São Paulo, 2000, 276 páginas.

35

TERRA. “Terra - Informática”. Internet: http://www.terra.com.br/informatica, recuperado em

23/06/2005.

TRIPOD. “Back Orifice”. Internet: http://members.tripod.com/snake_spirit/back_orifice.htm, recuperado em 24/06/2005.

UFPA. “Back Orifice”. Internet: http://www.cultura.ufpa.br/dicas/vir/inv-bo.htm, recuperado em 24/06/2005.

USP – Universidade de São Paulo. “Técnicas utilizadas por invasores”. Internet:

http://www.cirp.usp.br/velha/secoes/screde/seg_redes/seg_inv.html, recuperado em

24/06/2005.