Академический Документы
Профессиональный Документы
Культура Документы
Prof.TiagoEugeniodeMelo,M.Sc.
copyleft@TiagoEugeniodeMelo,M.Sc.
Sumrio
IntroduoSegurana
SeguranadeRede
Criptologia
Firewall
AssinaturaDigital
DefesasdeRede
Servios
EstratgiasdeSegurana
Vrus
SeguranaemLinux
AuditoriadeSistemas
copyleft@TiagoEugeniodeMelo,M.Sc.
IntroduoSegurana
PopularizaodaInternet
Oqueseprocuraproteger?
Dados:
segredo
integridade
disponibilidade
Recursos
Reputao
copyleft@TiagoEugeniodeMelo,M.Sc.
IntroduoSegurana
Contraoqueseproteger?
Tiposdeataques:
Intruso:osinvasoressocapazesderealmenteusaros
computadores.
Negaodeservio:aquelequecompletamenteorientado
paraimpedilodeusarseusprprioscomputadores.
Roubodeinformaes:Permitemaumatacanteobterdadossem
sequerprecisarusardiretamenteseuscomputadores.
copyleft@TiagoEugeniodeMelo,M.Sc.
IntroduoSegurana
Tiposdeatacantes:
Vndalos:pessoasqueestodispostasacausardanos,sejapor
causadesuatendnciaadestruircoisas,sejaporvingana.
Marcadores:pessoasquequeremdeixarumamarcaque
consigaraminvadirosite.
Espies:pessoasquepretendemroubarinformaes.
Emquemvocconfia?
copyleft@TiagoEugeniodeMelo,M.Sc.
IntroduoSegurana
Comopossvelprotegeroseusite?
nenhumasegurana
seguranaatravsdaobscuridade
seguranadehost
seguranaderede
Referncia
Zwicky, Elizabeth D. Construindo Firewalls para Internet. Rio de Janeiro,
Campus:2000.
copyleft@TiagoEugeniodeMelo,M.Sc.
Criptologia
Conceitos
Criptologia:cinciadasmensagenssecretas.compostapelas
disciplinasdecriptografiaedecriptanlise.
Criptografia:disciplinadecriptologiaquetratadosprincpios,
dosmeiosedosmtodosdetransformaodedocumentos
comoobjetivodemascararseucontedo,impedir
modificaeseousoilegaldosmesmos.
Criptoanlise:mtodosparaanalisarmensagenscifradascom
oobjetivodedecifrlas.
copyleft@TiagoEugeniodeMelo,M.Sc.
Criptologia
Esteganografia
Comunicaosecretaporocultaodemensagem.
Dogrego:
steganos=coberto
graphein=escrever
Atualmenteutilizadaparaescondertextosemimagensouem
outrostextos.
Seguranaporobscuridade.
copyleft@TiagoEugeniodeMelo,M.Sc.
Criptologia
Esteganografia
Exemplo
OSenhorEvandroquerusarestesalotemporariamente.
Relembreofatoocorrido,istopoderiaestragarrelquias,florais
eimagenstalhadas.Obrigado.
Qualoseurealsignificado?
copyleft@TiagoEugeniodeMelo,M.Sc.
Criptologia
Esteganografia
Ferramentas:
TatuEsteganografiapelaWeb
http://www.geb.com.br/tatu
Outguess
http://packages.debian.org/unstable/utils/outguess
Camaleo
http://www.dcc.unicamp.br/~ra030014/ic/estego/index.php3
copyleft@TiagoEugeniodeMelo,M.Sc.
10
Criptologia
Criptografia
Surgiudanecessidadedeseenviarinformaessensveis
atravsdemeiosdecomunicaonoconfiveis.
Comunicaosecretaporcifragemdemensagem.
Dogrego:
kriptos=oculto
graphein=escrever
EvoluoparalelaEsteganografia.
Amensagemmisturadadeacordocomumprotocolo
especficoestabelecidopreviamenteentreotransmissoreo
receptor.
Vantagem:leiturailegvelnocasodeinterceptao.
copyleft@TiagoEugeniodeMelo,M.Sc.
11
Criptologia
Criptografia
Acriptografiapodeserutilizadaemconjuntocoma
Esteganografia.
Exemplo:
Microponto(utilizadopelaAlemanhaduranteaSegundaGuerra
Mundial).
Reduofotogrficadeumapginadetextoaumpontocom
menosde1mmdedimetro.
copyleft@TiagoEugeniodeMelo,M.Sc.
12
Criptologia
Criptografia
Esquemabsicodosmtodosdecriptografia:
copyleft@TiagoEugeniodeMelo,M.Sc.
13
Criptologia
Criptografia
Ousodechavesfazcomqueointrusopreciseconhecero
mtododecriptografiaeaschaves.
Mtododecriptografiausandochaves:
copyleft@TiagoEugeniodeMelo,M.Sc.
14
Criptologia
Criptografiasimtrica
Osalgoritmosdechavesimtricasotambmconhecidos
comoalgoritmosdechavenicaecaracterizamseporutilizar
amesmachavetantoparaacifragemcomoparaadecifragem
dosdados.
Essemtodofuncionaemaplicaeslimitadas,comoas
militares,ondeoemissoreoreceptorpodemsepreparar
antecipadamenteparatrocarachave.
Mtodotambmconhecidocomotradicional.
Utilizasedealgoritmoscomputacionalmenteleveserpidos.
copyleft@TiagoEugeniodeMelo,M.Sc.
15
Criptologia
Criptografiasimtrica
TcnicadeSubstituio
Letrasdamensagemsosubstitudasporoutrasletrase/ou
smbolosconformeumatabeladeconverso.
Exemplo:A=X;C=Y;T=K;R=Z.ATACAR=XKXYXZ
Estatcnicapossuiduasvariantes:
Monoalfabticas(substituiosimples).
Polialfabticas.
Estetipodetcnicaconsideradapoucoseguraedeveutilizada
apenasparatextospequenos.
copyleft@TiagoEugeniodeMelo,M.Sc.
16
Criptologia
Criptografiasimtrica
TcnicadeTransposio
Ocontedodamensagemrearranjado,gerandoumanagrama.
Exemplo:ema=eam,aem,mea,mae,ame.
Outroexemplo:mensagemoriginalescritaalternandoasletras
emduaslinhas(umaabaixodaoutra).
Amensagemcifradaentoescritaconcatenandoseasduas
linhas.
Exemplo:
Qualorealsignificadodamensagemabaixo?
O
C
N
I
C
copyleft@TiagoEugeniodeMelo,M.Sc.
H
A
D
O
S
O
E
A
E
A
R
S
L
T
O
A
C
O
A
R
S
N
O
P
T
17
Criptologia
Criptografiasimtrica
Algoritmo
oprprioprocessodesubstituiooutransposio.
Consistenospassosaseremtomadospararealizaraencriptao.
Chave
Defineoalfabetocifradoexatoqueserutilizadonuma
codificaoemparticular.
Oalgoritmoutilizadoemumprocessodeencriptaopodeser
divulgadosemproblemas.Achave,porm,deveseruma
informaoconfidencialdoremetenteedodestinatrio.
copyleft@TiagoEugeniodeMelo,M.Sc.
18
Criptologia
Criptografiasimtrica
Cifra
AlfabetoOriginal
Nomedadoaqualquerformadesubstituiocriptogrfica,no
qualcadaletrasubstitudaporoutraletraousmbolo.
Conjuntodecaracteresusadoparaescreveramensagemoriginal
(antesdeserencriptado).
AlfabetoCifrado
Conjuntodecaracteresusadonasubstituiodeumamensagem
emumaencriptao.
copyleft@TiagoEugeniodeMelo,M.Sc.
19
Criptologia
DataEncryptionStandard(DES)
DesenvolvidonoperododaGuerraFria.
PropostainicialtinhaonomedeLucifer.
DesenvolvidopelaIBMem1977.
Utilizadocomoumpadroparacomunicaosegura.
Principalalgoritmoderivadodacriptografiasimtrica.
Utilizaumachavede64bitsdecomprimento.
Mensagemcodificadaemblocostambmde64bits.
Em1998,umaequipeconseguiufazeraquebradocdigoem
apenas46horas.
copyleft@TiagoEugeniodeMelo,M.Sc.
20
Criptologia
DataEncryptionStandard(DES)
Funcionamento:
Umatransposioinicial.
16ciclosintermediriosdesubstituiesetransposies.
Umatransposiofinal.
Oprincipalproblema,assimcomotodososalgoritmos
simtricos,aexignciaqueotransmissoreoreceptordeuma
mensagemconheamachavesecreta,enica,usadana
codificaoenadecodificao.
copyleft@TiagoEugeniodeMelo,M.Sc.
21
Criptologia
DataEncryptionStandard(DES)
TripleDES
apenasoDESefetuadotrsvezescomduaschavesnamesma
ordem.
Funcionamento:
UmaprimeirachaveutilizadaparacifraramensagememDES.
Umasegundachaveutilizadaparadecifraramensagemcifrada
(comoachavenoacorreta,apenasfazembaralharaindamais
osdados).
Amensagementonovamentecifradacomaprimeirachave,
chegandoaocdigofinal.
Esteprocedimentoemtrsetapaschamadade3DES.
possveltambmutilizartrschaves,aoinvsdeduas.
copyleft@TiagoEugeniodeMelo,M.Sc.
22
Criptologia
Criptografiaassimtrica
Osalgoritmosdechavepblicaeprivada,tambmchamados
dealgoritmosdechaveassimtrica,utilizamduaschaves:uma
pblicaquepodeserdivulgadaeoutrasecretaconhecida
somenteporpessoasautorizadas.
Baseadaemprincpiosdemanipulaomatemtica.
Osalgoritmossocomputacionalmentepesadoselentos.
copyleft@TiagoEugeniodeMelo,M.Sc.
23
Criptologia
RSARonRivest/AdiShamir/LeonardAdleman
Criadoem1977.
oalgoritmodechavepblicamaisutilizado.
Utilizanmerosprimos.
ApremissaportrsdoRSAquefcilmultiplicardois
nmerosprimosparaobterumterceironmero,masmuito
difcilrecuperarosdoisprimosapartirdaqueleterceiro
nmero.
Istoconhecidocomofatorao.
UmachaveRSAde512bitsfoiquebradaem1999pelo
InstitutoNacionaldePesquisadaHolanda,comoapoiode
cientistasdemais6pases.Levoucercade7meseseforam
utilizadas300estaesdetrabalhoparaaquebra.
copyleft@TiagoEugeniodeMelo,M.Sc.
24
Criptologia
RSARonRivest/AdiShamir/LeonardAdleman
Cercade95%dossitesdecomrcioeletrnicoutilizamchaves
RSAde512bits.
Odesenvolvimentodosalgoritmosdecriptografiaassimtrica
possibilitouoaparecimentodeaplicaesquetrafegamdados
internetdeformasegura,notadamentedoecommerce.
Referncia
http://www.numaboa.com.br/criptologia/
copyleft@TiagoEugeniodeMelo,M.Sc.
25
AssinaturaDigital
CertificadoDigital
umdocumentocriptografadoquecontminformaes
necessriasparaidentificaodeumapessoaouentidade
jurdica.
Objetivogarantiraautenticidadedaorigem.
Paravalidadedocertificadonecessriaaparticipaodeduas
entidades:
umaAR(AutoridadedeRegistro).
umaAC(AutoridadeCertificadora).
OpapeldeumaARrequisitaraemissodecertificados
digitaisdeumaAC.
copyleft@TiagoEugeniodeMelo,M.Sc.
26
AssinaturaDigital
CertificadoDigital
umarquivonocomputadorqueidentificaousurio,servindo
paracomprovaraidentidadeparaoutrapessoaououtro
computador.
Umcertificadodigitalnormalmentecontmasseguintes
informaes:
Achavepblicadousurio.
Nomeeendereodeemail.
Validadedachavepblica.
NomedaAutoridadeCertificadora(AC).
Nmerodesriedocertificadodigital.
AssinaturadigitaldaAC.
copyleft@TiagoEugeniodeMelo,M.Sc.
27
AssinaturaDigital
CertificadoDigital
AobtenodocertificadofeitoatravsdeumaCA.Paraisso
necessrioqueocertificadodigitalvenhadeumaCAque
provejaconfianadasprincipaiscompanhiasquetrabalhamna
internet.
Exemplo:
Quandoousurioconsultaoseubancoonline,estetemquese
certificardequeousurioapessoaquepoderecebera
informaosobreaconta.Comoumacarteirademotoristaou
umpassaporte,umcertificadodigitalconfirmaaidentidadepara
obancoonline.
copyleft@TiagoEugeniodeMelo,M.Sc.
28
AssinaturaDigital
CertificadoDigital
Princpiosbsicosparamanutenodasegurana:
Preservarachaveprivadaeoscertificados.
AsACseARsdevemserconfiveisemsi.
Emcasodesuspeitasdefraude,comorouboouclonagem,do
certificado,devesefazerimediatamenteopedidoderevogao.
Nuncadeixarachaveprivadaemlocaisdeacessopblico.
Exemplos:CDROMs,disquetes,diretrioscompartilhadosetc.
copyleft@TiagoEugeniodeMelo,M.Sc.
29
AssinaturaDigital
AssinaturaDigital
Aassinaturadigitaldeumamensagemconsistenaanexaoda
partepblicadocertificadodigital,juntamentecomoutras
informaesquegarantemaintegridadedoemail.
Antesdoenvioamensagempassaporumprocessode
codificao,chamadodealgoritmohash,atravsdoquala
mensagemqueestsendoenviadautilizadaparagerar
matematicamenteumconjuntodecaracteres(letrase
nmeros),quespodemsercriadospelamensagemdousurio
(messagedigest).
Oalgoritmohashfuncionarapidamentenumadireo,mas
muitodifcilfuncionarnadireoinversa.
copyleft@TiagoEugeniodeMelo,M.Sc.
30
AssinaturaDigital
AssinaturaDigital
Umavezcriadoamessagedigest,oprogramautilizaachave
privadadousurioparacriptograflo.
Oreceptorutilizaoprogramaparadecriptografaromessage
digest,utilizandoachavepblicadousurio.
Referncia
http://www.iti.gov.br
copyleft@TiagoEugeniodeMelo,M.Sc.
31
QuestesPrticas
Tamanhodachave
Acriptoanlise,cinciadedecodificaodecifras,sebaseia
nofatoramentodenmerosgrandes.
Quantomaiorachave,maisdifcildedecifrla.
Revogaodecertificado
Oqueacontecequandoumachaveprivadacomprometidaou
umachavepblicapassaaserinvlida?
Nessecaso,oscertificadosdeixamdeserconfiveis,poisas
informaesqueelesestoverificandonomaisverdadeiras.
Asoluoatualadivulgaoatravsdelistas.
copyleft@TiagoEugeniodeMelo,M.Sc.
32
QuestesPrticas
Fazerounocauo
Muitasempresasafirmamque,comoacomunicaodos
funcionriospropriedadedaempresa,aorganizaodever
teracessoschavesdosfuncionrioserecuperarmensagens.
Problemadeprivacidadeporpartedosfuncionrios.
Oquefazercomtodasessasinformaes
Oarquivamentodechavesededadoscriptografadosuma
questodifcil.
copyleft@TiagoEugeniodeMelo,M.Sc.
33
Criptologia
OGPG(GNUPGP,versolivredaferramentaPGP)
Permiteencriptardados,assimsomenteodestinatrioter
acessoaosdados,adicionalmentepoderverificarseaorigem
dosdadosconfivel(atravsdaassinaturadearquivos).
OsistemaPGPsebaseianoconceitodechavepblicae
privada:achavepblicadousuriodistribudaparaas
pessoasqueeledesejatrocardados/mensagenseachave
privadaficanasuamquina(elanopodeserdistribuda).As
chavespblicaseprivadassoarmazenadasnosarquivos
pubring.gpgesecring.gpgrespectivamente,dentrodo
subdiretrio~/.gnupg.
copyleft@TiagoEugeniodeMelo,M.Sc.
34
Criptologia
OGPG(GNUPGP,versolivredaferramentaPGP)
Osdadosquerecebedeoutrapessoasocriptografadosusando
suachavepblicaesomenteousurio(depossedachave
privada)poderdesencriptarosdados.Quandoassinaum
arquivousandooPGP,elefazistousandosuachaveprivada,o
destinatriodepossedachavepblicapoderentoconfirmar
queaorigemdosdadosconfivel.
OGPGvemlargamentesendousadoparatransmissosegura
dedadosviainternet.
copyleft@TiagoEugeniodeMelo,M.Sc.
35
Criptologia
OGPG(GNUPGP,versolivredaferramentaPGP)
InstalandooPGP
aptgetinstallgnupg
Apsinstalarognupg,executeocomandogpgparacriaro
diretrio~/.gnupgquearmazenaraschavespblicaeprivada.
Criandoumpardechavespblica/privada:
Paragerarumpardechavespessoaisuseocomandogpggen
key.
copyleft@TiagoEugeniodeMelo,M.Sc.
36
Criptologia
OGPG(GNUPGP,versolivredaferramentaPGP)
Eleexecutarosseguintespassos:
1.ChavecriptogrficaAlgoritmos:DSA,ELGamaleRSA.
2.Tamanhodachave1024bitstrazumaboacombinaode
proteo/velocidade.
3.Validadedachave0achavenoexpira.Umnmeropositivo
temovalordedias,quepodeserseguidodasletrasw(semanas),
m(meses)ouy(anos).Porexemplo,"7m","2y","60".Apsa
validade,achaveserconsideradainvlida.
4.NomedeusurioNomeparaidentificarachave
5.EmailEmaildodonodachave
6.ComentrioUmadescriosobreachavedousurio.
copyleft@TiagoEugeniodeMelo,M.Sc.
37
Criptologia
OGPG(GNUPGP,versolivredaferramentaPGP)
Eleexecutarosseguintespassos:
7.ConfirmaoTecle"O"paraconfirmarosdadosouumadas
outrasletrasparamodificarosdadosdesuachave.
8.DigiteaFraseSenhaSenhaqueiridentificlo(a)como
proprietriodachaveprivada.chamadadeFraseSenhapois
podeconterespaosenohlimitedecaracteres.
9.Confirmeeaguardeageraodachavepblica/privada.
copyleft@TiagoEugeniodeMelo,M.Sc.
38
Criptologia
OGPG(GNUPGP,versolivredaferramentaPGP)
Encriptandodados
Useocomandogpgearquivofazaencriptaodedados:
gpgearquivo.txt
Serpedidaaidentificaodeusurio,digiteonomequeusou
paracriarachave.Oarquivocriadoserencriptadousandoa
chavepblicadousurio(~/.gnupg/pubring.gpg)etera
extenso.gpgadicionada(arquivo.txt.gpg).Almde
criptografado,estearquivocompactado(recomendvelpara
grandequantidadedetextos).Aopoausadaparacriarum
arquivocriptografadocomsadaASCII7bits:
gpgeaarquivo.txt
Oarquivogeradoteraextenso.ascacrescentada
(arquivo.txt.asc)enosercompactado.
copyleft@TiagoEugeniodeMelo,M.Sc.
39
Criptologia
OGPG(GNUPGP,versolivredaferramentaPGP)
Decriptandodadoscomogpg
Agoravamosfazeraoperaoreversadaacima,aopod
usadaparadecriptarosdadosusandoachaveprivada:
gpgdarquivo.txt.asc>arquivo.txt
gpgdarquivo.txt.gpg>arquivo.txt
Descriptografaosarquivosarquivo.txt.ascearquivo.txt.gpg
recuperandoseucontedooriginal.Asua"FraseSenha"ser
pedidaparadescriptografarosdadosusandoachaveprivada
(~/.gnupg/secring.gpg).
copyleft@TiagoEugeniodeMelo,M.Sc.
40
Criptologia
OGPG(GNUPGP,versolivredaferramentaPGP)
Assinandoarquivos
Assinarumarquivogarantirquevocapessoaquerealmente
enviouaquelearquivo.Useaoposparaassinararquivos
usandosuachaveprivada:
gpgsarquivo.txt
A"FraseSenha"serpedidaparaassinarosdadosusandosua
chaveprivada.Sergeradoumarquivoarquivo.txt.gpg(assinado
ecompactado).
copyleft@TiagoEugeniodeMelo,M.Sc.
41
Criptologia
OGPG(GNUPGP,versolivredaferramentaPGP)
Checandoassinaturas
Achecagemdeassinaturaconsisteemverificarquequemnos
enviouoarquivorealmentequemdizsereseosdadosforam
dealgumaformaalterados.Vocdeverterachavepblicado
usurionoseuchaveiroparafazerestachecagem.Paraverificar
osdadosassinadosacimausamosaopoverify:
gpgverifyarquivo.txt.asc
Seasadafor"AssinaturaCorreta",significaqueaorigemdo
arquivoseguraequeelenofoidequalquerformamodificado.
gpgverifyarquivo.txt.gpg
Seasadafor"AssinaturaINCORRETA"significaqueouo
usurioqueenviouoarquivonoconfereouoarquivoenviado
foidealgumaformamodificado.
copyleft@TiagoEugeniodeMelo,M.Sc.
42
Criptologia
OGPG(GNUPGP,versolivredaferramentaPGP)
Extraindosuachavepblicadochaveiro
Suachavepblicadeveserdistribudaaoutrosusuriosparaque
possamenviardadoscriptografadosouchecaraautenticidadede
seusarquivos.Paraexportarsuachavepblicaemumarquivo
queserdistribudoaoutraspessoasouservidoresdechavesna
Internet,useaopoexport:
gpgexportausuario>chavepub.txt
Aoinvsdonomedousurio,poderserusadoseuemail,IDda
chave,etc.Aopoapermitequeosdadossejamgerados
usandobitsASCII7.
copyleft@TiagoEugeniodeMelo,M.Sc.
43
Criptologia
OGPG(GNUPGP,versolivredaferramentaPGP)
Adicionandochavespblicasaoseuchaveiropessoal
Istonecessrioparaoenviodedadoscriptografadose
checagemdeassinaturadousurio,useaopoimport:
gpgimportchavepubusuario.txt
Assumindoqueoarquivochavepubusuario.txtcontmachave
pblicadousuriocriadaemExtraindosuachavepblicado
chaveiro.Ogpgdetectachavespblicasdentrodetextosefaza
extraocorretamente.
copyleft@TiagoEugeniodeMelo,M.Sc.
44
Criptologia
OGPG(GNUPGP,versolivredaferramentaPGP)
Listandochavesdeseuchaveiro
Useocomandogpglistkeysparalistaraschavespblicado
seuchaveiro.Ocomandogpglistsecretkeyslistasuaschaves
privadas.
copyleft@TiagoEugeniodeMelo,M.Sc.
45
Criptologia
OGPG(GNUPGP,versolivredaferramentaPGP)
Apagandochavesdeseuchaveiro
Quandoumachavepblicamodificadaouporqualqueroutro
motivodesejaretirladoseuchaveiropblico,utilizeaopo
deletekey:
gpgdeletekeyusuario
Podeserespecificadoonomedeusurio,emailIDchaveou
qualqueroutrodetalhequeconfiracomachavepblicado
usurio.Serpedidaaconfirmaoparaexcluirachavepblica.
copyleft@TiagoEugeniodeMelo,M.Sc.
46
Criptologia
OGPG(GNUPGP,versolivredaferramentaPGP)
Apagandochavesdeseuchaveiro
OBS:Achaveprivadapodeserexcludacomaopodelete
secretkey.Utilizeacomomximodeatenoparaexcluir
chavessecretasquenoutiliza(casousemaisdeuma),a
exclusoacidentaldesuachavesecretasignificacomoperdera
chavedeumcofredebanco:vocnopoderdescriptografaros
arquivosenviadosavocenopoderenviararquivos
assinados.
Mesmoassimseistoaconteceracidentalmente,vocpoder
recuperaroltimobackupdachaveprivadaem
~/.gnupg/secring.gpg~.
copyleft@TiagoEugeniodeMelo,M.Sc.
47
Criptologia
OGPG(GNUPGP,versolivredaferramentaPGP)
MudandosuaFraseSenha
Executeocomandogpgeditkeyusurio,quandooprograma
entraremmododecomandos,digitepasswd.Serlhepedidaa
"FraseSenha"atualeanova"FraseSenha".Digite"save"para
sairesalvarasalteraesou"quit"parasaireabandonaroque
foifeito.
Ogpgeditkeypermitegerenciardiversosaspectosdesuas
chavesinteressanteexploralodigitando"?"paraexibirtodasas
opesdisponveis.
copyleft@TiagoEugeniodeMelo,M.Sc.
48
Criptologia
OGPG(GNUPGP,versolivredaferramentaPGP)
Listandoassinaturasdigitais
Executeocomandogpglistsigsparalistastodasasassinaturas
existentesnoseuchaveiro.Opcionalmentepodeserespecificado
umparmetroparafazerrefernciaaassinaturadeum
usurio:gpglistsigsusuario.
Ocomandogpgchecksigsadicionalmentefazachecagemde
assinaturas.
Referncia
http://focalinux.cipsga.org.br/guia/avancado/chdcripto.htm
copyleft@TiagoEugeniodeMelo,M.Sc.
49
Servios
FileTransferProtocol(FTP)
Surgiuem1971parasatisfazeranecessidadequeoMITtinha
emtransferirarquivos.
OFTPomtodopadrodetransferirarquivosdeumsistema
paraoutro.
Osseusobjetivosso(RFC0765):
Promovercompartilhamentodearquivos.
Encorajarutilizaoindiretaouimplcitadecomputadores
remotos.
Protegerumusuriodasvariaesemsistemasde
armazenamentodearquivoentrehosts.
Transferirdadosdeformaconfiveleeficiente.
copyleft@TiagoEugeniodeMelo,M.Sc.
50
Servios
FileTransferProtocol(FTP)
necessriaaautenticaodousurioparaquesejapermitida
asuaconexo.
MuitosservidoresutilizamochamadoFTPannimo.
copyleft@TiagoEugeniodeMelo,M.Sc.
51
Servios
FileTransferProtocol(FTP)
Arquitetura
copyleft@TiagoEugeniodeMelo,M.Sc.
52
Servios
FileTransferProtocol
(FTP)
ftp(IP/DNS):conexo
lcd:mudaodiretrio
local.
hash:habilitaasmarcas
deprogresso.
Tiposdearquivos:
Baixarosarquivos:
Principaiscomandosde
FTP
mget:fazodownloadde
vriosarquivos.
reget:continuao
downloadapartirdo
finaldoarquivoqueest
emsuamquinalocal
(espciederesume).
Enviararquivos:
ascii:arquivosdotipo
texto.
binary:todososoutros
tipos.
copyleft@TiagoEugeniodeMelo,M.Sc.
get:fazodownloadde
umarquivoporvez.
put:fazoenviodeum
arquivoporvez.
mput:fazoenviode
vriosarquivosporvez.
53
Servios
FTPModoNormalvs.Passivo
ConfiguraroserviodeFTPemmodopassivo(passivemode)
permite,aoadministradordosistema,delimitaronmero
(range)deportaspelasquaissedaratransfernciadosdados.
Issorepresentaumconsidervelincrementodesegurana,no
especificamenteparaoserviodeFTP,masparaamquina
queprovoservio.
NumaconexoFTPnormal,oclienteindica,aleatoriamente,a
portaemquedesejaqueosdadossejamtransferidos.
copyleft@TiagoEugeniodeMelo,M.Sc.
54
Servios
FTPPassivoxNormal
copyleft@TiagoEugeniodeMelo,M.Sc.
55
Servios
AsprincipaisdeficinciasdoFTPso:
OFTPutilizaaautenticaodenomedeusurio/senhapadro.
Comoresultado,oservidornopodedeterminardeforma
confivelseumdeterminadousuriorealmentequemele
afirmaser.
Porpadro,assenhassotransmitidasemtextosimples.Isso
permiteaosinvasoresinterceptareletronicamenteecapturar
senhas.
AssessesdeFTPnosocriptografadase,portanto,no
oferecemnenhumaprivacidade.
copyleft@TiagoEugeniodeMelo,M.Sc.
56
Servios
TELNET
Oserviotelnetofereceologinremotoemumcomputador,
permitindoaousuriotrabalharconectadodistncia,comose
estivesseemfrentedamquinaremota.
copyleft@TiagoEugeniodeMelo,M.Sc.
57
Servios
TELNET
Caractersticas:
Conexorpida(noutilizatransmissodedadoscriptografada),
recomendadoparaambientesseguros.
Possuiumaversocomsuporteacriptografiaviassl.
Possuicontroledeacessotcpd(usando/etc/hosts.allowe/
etc/hosts.deny).
Amaioriadossistemasoperacionaistrazemesteutilitriopor
padrocomosistemadeacessoremotoamquinasUNIX.
SuporteaterminaisANSI(coresecdigosdeescapeespeciais
paraoconsole)eumagrandevariedadedeoutrosterminais.
Aportapadroa23epodesermodificadanoarquivo/
etc/services.
Comoosdadostransferidossotextopleno,estespodemser
capturadosporsnifferseaumentarorisconasegurana.
copyleft@TiagoEugeniodeMelo,M.Sc.
58
Servios
FichatcnicadoTELNET:
Pacotes:
telnetClientetelnetcomsuporteaautenticao.
telnetdServidortelnetcomsuporteaautenticao.
telnetsslClientetelnetcomsuporteaautenticaoessl.
Tambmsuportaconexoaservidorestelnetpadroquandoo
servidornosuportassl.Porpadrotentadaaconexousando
ssl,seestafalharserassumidaatransmissoemtextoplano.
telnetdsslServidortelnetcomsuporteaautenticaoessl.
Tambmsuportaconexodeclientestelnetpadro(semsuporte
assl).
copyleft@TiagoEugeniodeMelo,M.Sc.
59
Servios
FichatcnicadoTELNET:
Utilitrios:
in.telnetdServidortelnet.
telnetClientetelnetpadro.
telnetsslClientetelnetcomsuporteassl.
copyleft@TiagoEugeniodeMelo,M.Sc.
60
Servios
PrincipaiscomandosdoTELNET:
telnet[endereo][porta]
Principaisopes:
l[usurio]:enviaonomedousurioaocomputadorremoto.
a:tentarfazerologinautomticousandoonomedeusurio
local.
r:emulaocomportamentodoprogramarlogin.
copyleft@TiagoEugeniodeMelo,M.Sc.
61
Servios
SSH
Oserviodesshpermitefazeroacessoremotoaoconsolede
umamquina,emoutraspalavras,ousuriopoderacessar
umamquinacomoseestivesseconectadolocalmenteaoseu
console.
Aprincipaldiferenacomrelaoaoserviotelnetpadro,
rloginershquetodaacomunicaoentrecliente/servidor
feitadeformaencriptadausandochavespblicas/privadas
RSAparacriptografiagarantindoumatransfernciasegurade
dados.
AvelocidadedoconsoleremotoconectadoviaInternet
excelente,dandoaimpressodeumaconexoemtemporeal.
copyleft@TiagoEugeniodeMelo,M.Sc.
62
Servios
SSH
Acompactaodosdadostambmpodeserativadaparaelevar
aindamaisavelocidadeentreclienteservidorssh.
Emconexessemcriptografia(rsh,rlogin)osdadostrafegam
deformadesprotegidaecasoexistaalgumsnifferinstaladoem
suarotacomamquinadestino,todooquefizerpoderser
capturado(incluindosenhas).
copyleft@TiagoEugeniodeMelo,M.Sc.
63
Servios
SSHCaractersticas
Conexodedadoscriptografadaentrecliente/servidor.
Cpiadearquivosusandoconexocriptografada.
Suporteaftpcriptografado(sftp).
Suporteacompactaodedadosentrecliente/servidor.
Controledeacessodasinterfacesservidaspeloservidorssh.
Autenticaousandoumpardechavespblica/privadaRSA
ouDSA.
Algoritmodecriptografialivredepatentes.
SuporteacaracteresANSI(coresecdigosdeescapeespeciais
noconsole).
copyleft@TiagoEugeniodeMelo,M.Sc.
64
Servios
SSHCaractersticas
Umaoutracaractersticafavorvelque,porsermuito
semelhanteaoTELNET,facilitaoseuuso.
OSSHpermitecriarumprodutoextensvelmaisflexvel.A
arquiteturadeletalqueoprotocolodebasenoimportacom
qualalgoritmoutilizado.Portanto,podese,futuramente,
alteraroalgoritmosemalterarassuasfuncionalidades.
copyleft@TiagoEugeniodeMelo,M.Sc.
65
Servios
SSHFichatcnica:
Arquivosdeconfigurao:
/etc/ssh/sshd_configArquivodeconfiguraodoservidorssh.
/etc/ssh/ssh_configArquivodeconfiguraodoclientessh.
~/.ssh/configArquivodeconfiguraopessoaldoclientessh.
copyleft@TiagoEugeniodeMelo,M.Sc.
66
Servios
AplicativosdeSSH
SecureShell(SSH)
Osshfuncionaquasedamesmaformaqueumclientetelnet.
Umavezconectadoaoservidor,vocpodeutilizarsshpara
realizarcomandosbsicosdesistemaeemcadaaspectosua
sessodesshseparecercomumasessodetelnet.
Comando:sshusario@ip/nome_do_servidor_ssh
Casoonomedousuriosejaomitido,serutilizadoologinatual
dosistema.
Opes:
C:ativaomododecompactaodedados(tilemconexes
lentas).
l:determinaonomedousurio.
p:especificaonmerodaporta.Aportapadroa22.
copyleft@TiagoEugeniodeMelo,M.Sc.
67
Servios
AplicativosdeSSH
SecureShellCopy(SCP)
OprogramaSecureShellCopyforneceummeiosegurode
copiararquivosdeumhostparaoutro.Funcionaquaseda
mesmamaneiraqueorcp,masutilizasshparafacilitaras
transferncias.
Comando:
scp[origem][destino]
Exemplo:usario@host_remoto:/diretrio/arquivo
AplicativosdeSSH
SecureFTP(SFTP)
Permiterealizartransfernciadearquivossegura,atravsdo
protocoloSSH.
Comando:sftpusuario@host_remoto
copyleft@TiagoEugeniodeMelo,M.Sc.
68
Servios
SecureSocketLayerSSL
umpadro(protocolo)desenvolvidopelaNetscape
Communicationsparatransferirinformaesdemodoseguro
naInternet,desdequeambos,oservidoreocliente,apiemo
protocolo.
OSSLpermitirqueoclienteseconecteaoWebSitee,de
formatransparente,sercriadoumcanaldecomunicao
seguroentreoSiteeoCliente.
Umavezqueestaconexofeita,informaes,comoo
nmerodecartesdecrditoesenhasdecontascorrente,
poderoserfornecidassemquealgumaoutrapessoapossa
interceptarosdados,ouseja,deumamaneirasegura.
copyleft@TiagoEugeniodeMelo,M.Sc.
69
Servios
SecureSocketLayerSSL
Estaseguranagarantidapelaencriptao,osusuriosque
interceptaremamensagemnocaminho,ficamimpedidosde
acessarocontedodamensagem,jquenoconseguiro
entenderoqueestsendotransmitido.
OSSLutilizacomoprotocolodetransporteoTCP,que
providenciaumatransmissoerecepoconfiveldosdados.
UmavezqueoSSLresidenonveldesocket,atuandoentrea
camadadetransporteeaplicao,eleindependentedas
aplicaesdemaisaltonvel,sendoassimconsideradoum
protocolodeseguranaindependentedoprotocolo
aplicacional.Comotal,oSSLpodeprovidenciarservios
segurosparaprotocolodealtonvel,comoporexemplo
TELNET,FTPeHTTP.
copyleft@TiagoEugeniodeMelo,M.Sc.
70
Servios
SecureSocketLayerSSL
ComofuncionaSSL?
ExistemtrscomponentesprincipaisparaumsiteWebseguro:
1.Servidor:omelhorlugardaInternetparaarmazenaroWeb
Site.
2.SoftwareSeguro:esteosoftwareinstaladonoservidor,que
faztodootrabalhodecriptografia.
3.CertificadodeAssinatura:comouma"assinaturadigital".
copyleft@TiagoEugeniodeMelo,M.Sc.
71
Servios
SecureSocketLayerSSL
Objetivos:
Autenticaodeservidores.
Encriptaodosdados.
Integridadedemensagens.
Referncia:
http://www.ietf.org/rfc/rfc2818.txt
copyleft@TiagoEugeniodeMelo,M.Sc.
72
Servios
HTTPSxSHTTP
Existemduasgrandesabordagensparaasoluodoproblema
desegurananonveldosprotocolosdacamadadeaplicao
naarquiteturaInternet:oHTTPSeoSHTTP.
HTTPSautilizaodoprotocoloHTTP(HyperTextTransfer
Protocol)emconjuntocomoprotocoloSSL(secureSockets
Layer).
Esteprotocoloprovencriptaodedados,autenticaode
servidor,integridadedemensageme,opcionalmente,
autenticaodeclienteparaumaconexoTCP/IP.
copyleft@TiagoEugeniodeMelo,M.Sc.
73
Servios
HTTPSxSHTTP
SHTTP(secureHTTP)umaextensodoprotocoloHTTP
propostapeloEITnocomeode1994equeprovtransaes
seguraspelaincorporaodecriptografia,mecanismosde
autenticaonoprotocoloHTTPpermitindotransaes
segurasfimafimentreclienteeservidorWWW.
SSLeSHTTPtmdiferentesmotivaes:ascamadasde
seguranaSSLficamsobosprotocolosdeaplicao,como
HTTP,NNTPeTELNET,enquantoqueHTTPSadiciona
seguranabaseadanasmensagensespecificamentedo
protocoloHTTPnonveldaaplicao.
Estasduasaplicaes,longedeseremmutuamenteexclusivas,
podemcoexistirperfeitamentedeformacomplementarcomo
protocoloHTTPSatuandosobreacamadaSSL.
copyleft@TiagoEugeniodeMelo,M.Sc.
74
Vrus
Introduo
Pesquisasmostramque50%dosprejuzosemsoftwareso
culpademauusooudainexperinciadosusurios.
Ousurioinexperientedestrimuitomaisdadosdoque
qualquervrus.
Existemmaisde80.000vrusreconhecidos.
Umvrusdecomputadorumprogramaquepodeinfectar
outroprogramadecomputadoratravsdamodificao
daquele,deformaaincluirumacpiadesimesmo.
OsusuriosWindowssovtimasquaseexclusivasdevrus,
poisapesardeexistirvrusparaUnixeMacOS,estessoraros
ecostumamserbemlimitados.
Ovrusdecomputadorfoiaprimeiraformadevidaconstruda
pelohomemStephenHawking.
copyleft@TiagoEugeniodeMelo,M.Sc.
75
Vrus
Conseqncias
Erronahoradaexecuodeumarquivo.
Baixadememria.
Lentidoparaentraremprogramas.
Danificaodedados.
Danificaodrivers.
FormataoindesejadadeHD.
Alocaodesnecessriadememriadecomputador.
copyleft@TiagoEugeniodeMelo,M.Sc.
76
Vrus
Vrusdearquivos
Ovrusseagregaaarquivosexecutveis.Ex.:.exeou.com.
Podemserclassificadosemdoistipos:aodiretaeresidentes.
Osvrusdeaodiretaselecionamumoumaisprogramaspara
infectarcadavezqueoprogramaqueocontmexecutado.
Osvrusresidentesescondemseemalgumlugarnamemriana
primeiravezqueumprogramainfectadoexecutado.Essetipo
devrustambmpodeserativadoapartirdeeventosoupr
condiesdeterminadaspelocriador.
copyleft@TiagoEugeniodeMelo,M.Sc.
77
Vrus
VrusdeSistemaoudeBoot
Infectamcdigosexecutveislocalizadosnasreasdesistema
dodisco.
Umaoutratcnicaexibirosarquivosdebootoriginais
semprequeforfeitaumasolicitaodeleituradosector1da
trilha0.
copyleft@TiagoEugeniodeMelo,M.Sc.
78
Vrus
VrusMltiplos
Soaquelesquevisamtantoosarquivosdeprogramascomuns
comoossetoresdebootdoDOS.
VrusdeMacro
OConceptfoiprimeirovrusdemacrodoMicrosoftWord
(1995).
Seescondeemarquivosdedados.Ex:planilhaseeditoresde
texto.
Grandepropagaodevidoaograndenmerodeusurios
dessesaplicativos.
Soconstrudosapartirdaprprialinguagemdosaplicativos.
Eleseautocopiaparaomodeloglobaldoaplicativoe,apartir
da,sepropagaparatodososdocumentosqueforemabertos.
copyleft@TiagoEugeniodeMelo,M.Sc.
79
Vrus
VrusStealthouFurtivo
Utilizatcnicasdedissimulaoparaquesuapresenanoseja
detectadanempeloantivrus,nempelosusurios.
VrusEncriptados
Sovrusque,porestaremcodificados,dificultamaaode
qualquerantivrus.
Nosocomunspelofatodeseremdifceisdeseremcriados.
copyleft@TiagoEugeniodeMelo,M.Sc.
80
Vrus
VrusMutantesouPolimrficos
Tmacapacidadedegerarcpiasdesimesmo,utilizandose
dechavesdeencriptaodiversas,fazendoqueascpiasfinais
possuamformasdiferentes.
Oobjetivodificultaradetecodeutilitriosantivrus,j
queascpiasnopodemserdetectadasapartirdeumanica
refernciadovrus.
VrusStealthouFurtivo
Utilizatcnicasdedissimulaoparaquesuapresenanoseja
detectadanempeloantivrus,nempelosusurios.
copyleft@TiagoEugeniodeMelo,M.Sc.
81
Vrus
Vermes
Tambmsoconhecidoscomoworms.
umpedaodeprogramaparacomputadoresemrede.
Eleumprogramadeautoduplicao,quenoseescondeem
outroprograma,comofazumvrus.
RobertMorrislanouovermemaisfamosoem1988ecausou
umafalhaemcercade6000computadores(10%dainternet).
copyleft@TiagoEugeniodeMelo,M.Sc.
82
Vrus
Ovruscavalodetria
Tambmconhecidocomotrojan.
Utilizaomesmoprincpiodoscigarrosexplosivosoudeum
daqueleslivrosquedochoque.
Permiteoacessoremotoaocomputadorapsainfeco.
Nosereproduz.
tambmconhecidocomoprogramasquecapturamsenhas
semoconhecimentodousurio.
copyleft@TiagoEugeniodeMelo,M.Sc.
83
Vrus
Precaues:
Possuirumbomsoftwaredeantivruseatualizado.
Deixaraautoproteoligada.
Checagemdedisquetesdeconhecidos.
AntesdebaixarumarquivodaInternet,fazerumaverificao.
Possuirumdisquetedebootlimpo.
ProteoparaoarquivoNORMAL.DOT.
copyleft@TiagoEugeniodeMelo,M.Sc.
84
Vrus
Programasantivrus:
Omtodomaiscomumprocurarporumaseqnciadebytes
queconstituemoprogramavrus.
Elesmantmumbancodedadosdepegadasdevrustrechos
decdigoquesoconhecidoscomopartedevrus.
Recursosespeciais:
TecnologiaPush:atualizaalistadevrus.
ScreenScan:varreodiscorgidoenquantoosistemaestocioso.
copyleft@TiagoEugeniodeMelo,M.Sc.
85
Vrus
Principaisprogramasantivrus:
VirusScan:
ProduzidopelaMcAfee
omaisconhecido.
Possuiumaversotrialnosite.
http://us.mcafee.com
Norton
ProduzidopelaSymantec.
Possui70.726vruslistados.
Monitoraapresenadevrusdurantearealizaodedownloadna
internet.
Conseguetrabalharemsegundoplano.
RodaemplataformaWindows.
http://www.symantecstore.com
copyleft@TiagoEugeniodeMelo,M.Sc.
86
Vrus
Principaisprogramasantivrus:
Dr.Solomons
AVG
Possuiummduloparaanalisarachegadadearquivos
contaminadospelaInternet.
Podetrabalharemsegundoplano.
http://www.drsolomon.com
Softwaregratuito.
http://www.grisoft.com
AegisVrusScanner
AntivrusparasistemasLinuxeWindows.
Interfacesimpleseintuitiva.
Versoatual0.1.2a(260305).
http://jodrell.net/projects/aegis
copyleft@TiagoEugeniodeMelo,M.Sc.
87
Vrus
ClassificaodoModusOperandis:
VrusdediscoStoned,Michelangelo,PingPong
VrusdearquivoJerusalm,Athenas,Freddy
Infectamarquivosexecutveisoudeextenso.SYS,.OVL,.
MNU.
Vrusresidentes
Infectamobootsector.
Sovrusmuitosimplesequefuncionamapenascomo
programasautoreprodutores.
Vrusnoresidentes
Somaissofisticados,poispermanecemnamemriaapsouso
doprogramainfectado.
copyleft@TiagoEugeniodeMelo,M.Sc.
88
Vrus
Deteco
Umvrus,comotodoprograma,ocupaespaoemdisco.
Asuaexecuofazoprogramaaumentardetamanhoealterar
adatadegravao.Ex:Jerusalm.
Companheiros
Sovrusquenoinfectamprogramas(.exe).
Criamumarquivodeextenso(.com)cujoatributoalterado
parahidden.
Polimrficos
Ovrussealteraacadavezqueinfectaumnovoarquivo.
DessaformaovruscriaNvariaesdesiprprio.
Oobjetivoquesepelomenosumavariaoescapasseaoanti
vrus,elapoderiareinfectartodososarquivosnovamente.
copyleft@TiagoEugeniodeMelo,M.Sc.
89
Vrus
Deteco
Retrovrus
Sovrusquetmcomoalvoantivrus.
Algunstmcdigoparadesativarantivrusresidentes.
copyleft@TiagoEugeniodeMelo,M.Sc.
90
Vrus
Sintomas:
Demoramaiornaexecuodeumprograma.
Aumentodotamanhodosprogramas.
Alteraonadatadecriaodoprograma.
Nocasodevrusdedisco,possvelquealgunsarquivosdo
disquetesimplesmentedesapaream.
ProgramaWindowsdeixardefuncionaroucongela
rapidamente.
copyleft@TiagoEugeniodeMelo,M.Sc.
91
Vrus
Vrusfamosos
MyDoom
ILoveYou
Atacou45milhesdecomputadoresempoucosdias.
ChodeD
Vermequesedifundepeloenviomassivodecorreioeletrnico.
DescarregaeexecutaarquivosdeumadeterminadapginadaWeb.
OChodeseespalhaporprogramasdemensageminstantneaecapaz
deenviarcpiasdesimesmoparaendereospresentesemlistasde
contatosdamquinainfectada.
ZotoB
ExploramumabrecharelacionadafunoPlugandPlaydosistema
operacionalWindows.
Existemalgumasvariantes,comoZotob.c,queseespalhaviaemails.
copyleft@TiagoEugeniodeMelo,M.Sc.
92
SeguranadeRede
Omundoatualemredepodesermaisconveniente,mas
tambmmuitomaisdesprotegido.
SeguranadoIP
medidaqueospacotespassamdeumroteadorparaoutro,os
dadosestoabertosaqualquerumqueiravlos.
Maiorinteressepelospacotescomsenhas.
Aquebradospacotespermiteinserodecdigo.
Ataquenoroteamento.
copyleft@TiagoEugeniodeMelo,M.Sc.
93
SeguranadeRede
SeguranadoDNS(DomainNameSystem)
ODNS(DomainNameSystem)hojeumservioessencialparao
funcionamentodaInternet.Essaimportncia,associadanatureza
dasinformaesqueelearmazena,otornamumdosalvosmais
atraentesparaatacantes.
Ataquescomuns:
Listagemdemapas
Contaminaodocache
Permiteaoatacanteterumavisodasmquinasedarededa
vtima,tornandopossvelentodefiniramelhorestratgia,as
mquinasmaisvulnerveise/oucominformaesprivilegiadas.
PropagaoparaoutrosservidoresDNS.
TambmconhecidocomoPharming.
Acessoremotonoautorizado
EvitarqueaversodoservidordeDNSsejadivulgada.
copyleft@TiagoEugeniodeMelo,M.Sc.
94
SeguranadeRede
SeguranadoDNS(DomainNameSystem)
Ataquescomuns:
Permissodepesquisarecursiva
OservidordeDNSdevesomenterespondersrequisiesde
consultasdoshostsdasuarede.Quandoissonoocorre,ouseja,
quandooservidorrespondesconsultasprovenientesdequaisquer
hosts,podesecomprometerasatividadesdoservidor(nmeroalto
derequisiesgeraumagrandequantidadedetarefas,queporsua
vez,geralentidoouparadadoservidor).Almdisso,suabanda
oulinkcomaInernetestarsendoconsumidadesnecessariamente,
pararesponderahostsquenopertecemasuarede.
UmasoluoparaesteproblemaconfigurarquaisendereosIPs
poderorealizarapesquisanoseuservidor.
copyleft@TiagoEugeniodeMelo,M.Sc.
95
SeguranadeRede
SeguranadoDNS(DomainNameSystem)
DNSReverso
OusomaisfreqentedoDNSatraduodenomesem
endereosIP.Entretanto,eletambmpermitedescobrironome
associadoaumdeterminadoendereoIP.IssochamadoDNS
reverso,epossibilitaaidentificaododomniodeorigemde
umendereoIP.
UmDNSreversopodecausarosseguintestranstornos:
Oprimeirodelesquemuitossitesnegamoacessoausurioscom
endereossemDNSreversooucomoreversoincorreto.
Emsegundolugar,errosnaconfiguraodoDNSdepemcontraa
competnciatcnicadaequipedeadministraoderedes
responsvelpelodomnio,eissopodeviracausardificuldades
quandofornecessriointeragircomequipesdeoutrasredes.
copyleft@TiagoEugeniodeMelo,M.Sc.
96
SeguranadeRede
SeguranadoDNS(DomainNameSystem)
Referncias
NcleodeInformaoeCoordenaodoPontobr
Infoguerra
http://www.nbso.nic.br/docs/segadmredes/segadmredes.html
http://www.infoguerra.com.br/infonews/arc52005.html
BoletimdeseguranadaMicrosoft
http://www.microsoft.com/brasil/technet/Boletins/BoletinsMS03_09.aspx
copyleft@TiagoEugeniodeMelo,M.Sc.
97
SeguranadeRede
AtaquesdeNegaodeServio(DoS)
Conceito
NegaodeServio(DoS)umataquequepermitequeuma
pessoadeixeumsistemainutilizvelouconsideravelmentelento
paraosusurioslegtimos.atravsdoconsumodeseusrecursos,
demaneiraqueningumconsegueutilizlos.
Em1988,houveoprimeiroataquedeDoS.
Em1996,hackersinundaramumprovedordeservios(ISP)
com50mensagensporsegundo.
Aidiaoenviodemuitomaterialquefaaohostparar.
Umasoluoseriaforaroclientearealizarumclculo
complexoparacompletaraconexo.
copyleft@TiagoEugeniodeMelo,M.Sc.
98
SeguranadeRede
AtaquesdeNegaodeServioDistribuda
Conceito
ANegaodeserviodistribudo(DDoS)seutilizadoconceito
decomputaodistribudaparaefetuarosataques.Oatacante
invadeeseapropriadediversoscomputadoresparaexecutaro
ataqueapartirdediferentesorigenssimultaneamente.
Sodiversasorigensdeataque.
Procedimento:
Invasodemilharesdecomputadoresdesprotegidos(zumbis).
Instalaumprogramadeataque.
Coordenaparaatacaroalvonomesmomomento.
copyleft@TiagoEugeniodeMelo,M.Sc.
99
Firewall
OqueumfirewalldaInternet?
umaformadeproteoquepermitearedeseconectar
Internetaomesmotempoquemantmumcertograude
segurana.
Quaissoospropsitosdeumfirewall?
Limitaaentradadaspessoasaumpontocuidadosamente
controlado.
Impedequeosatacantescheguempertodesuasoutrasdefesas.
Limitaasadadaspessoasaumpontocuidadosamente
controlado.
copyleft@TiagoEugeniodeMelo,M.Sc.
100
Firewall
Conceito:
Conjuntodecomponentesdehardwareumroteador,um
computadorhostoualgumacombinaodestescomsoftware
apropriado.
copyleft@TiagoEugeniodeMelo,M.Sc.
101
Firewall
Construodeumfirewall
Antesdeconstruirumfirewall,devesepensar:
Quaisserviosprecisaproteger
recomendvelbloquearoacessoatodasasportasmenoresque
1024,poisestasexecutamserviocomprivilgioderoot.
Quetiposdeconexopodemrodar
Servioscomotelneteftpsotextoplanoedevemserevitados.O
bloqueiofeitopelofirewall,noimportandoseestesestomal
configurados.
Quemquinasterolivreacessoequaisserorestritas.
Queserviosteroprioridadesnoprocessamento.
Qualfirewallutilizar
Ipchains(kernel2.2)
Iptables(kKernel2.4eacima)
copyleft@TiagoEugeniodeMelo,M.Sc.
102
Firewall
Construodeumfirewall
Oquesoregras?
Socomandospassadosaoiptablesparaqueelerealizeuma
determinadaao,comobloquearoudeixarpassarum
determinadopacote.
Asregrassoarmazenadasdentrodoschainseprocessadasna
ordememquesoinseridas.
Asregrassoarmazenadasnokernel,oquesignificaquequando
ocomputadorforreiniciadotudooquefezserperdido.Porisso
hnecessidadedegravaremarquivoparaseremcarregadasem
cadainicializao.
Umexemploderegra:
iptablesAINPUTs123.123.123.1jDROP
copyleft@TiagoEugeniodeMelo,M.Sc.
103
Firewall
Construodeumfirewall
Oquesochains?
Oschainssolocaisondeasregrasdofirewalldefinidaspelo
usuriosoarmazenadasparaoperaodofirewall.
Existemdoistiposdechains:osembutidos(comooschains
INPUT,OUTPUTeFORWARD)eoscriadospelousurio.
Osnomesdoschainssocasesensitive.
Oquesotabelas?
Sooslocaisusadosparaarmazenaroschainseconjuntode
regrascomumadeterminadacaractersticaemcomum.
copyleft@TiagoEugeniodeMelo,M.Sc.
104
Firewall
Oqueumfirewallpodefazer?
Controlaraseguranadarede.
Imporumapolticadesegurana.
PermitiroregistrodasatividadesdaInternet.
Limitaraexposiodesegmentosderede.
copyleft@TiagoEugeniodeMelo,M.Sc.
105
Firewall
Oqueumfirewallnopodefazer?
Nogaranteumaseguranacompleta.
Nopodeprotegeraredecontrausuriosinternosmaliciosos.
Nopodeprotegeraredecontraconexesquenopassam
atravsdele.
Nopodeprotegeraredecontraameaascompletamente
novas.
Nopodeprotegercompletamentearedecontravrus.
Nopodeconfigurarasiprpriocorretamente.
Referncia
Zwicky,ElizabethD.ConstruindoFirewallsparaInternet.RiodeJaneiro,Campus:2000.
copyleft@TiagoEugeniodeMelo,M.Sc.
106
DefesasdeRede
RedesPrivadasVirtuais(VPNs)
umaredeprivadaconstrudasobreainfraestruturadeuma
redepblica,normalmenteainternet.
Possuemtrsaplicaesprincipais:
1.Acessoremotoaredescorporativasusandoainternet
copyleft@TiagoEugeniodeMelo,M.Sc.
107
DefesasdeRede
RedesPrivadasVirtuais(VPNs)
Possuemtrsaplicaesprincipais:
2.ConexodeLANsviainternet
3.Conexodecomputadoresnumaintranet
copyleft@TiagoEugeniodeMelo,M.Sc.
108
DefesasdeRede
RedesPrivadasVirtuais(VPNs)
Umadasprincipaisvantagensadiminuiodecustos.
Requisitosbsicos:
Autenticaodeusurios
Gerenciamentodeendereos
Criptografiadedados
Gerenciamentodechaves
Referncia:
http://www.rnp.br/newsgen/9811/vpn.html
copyleft@TiagoEugeniodeMelo,M.Sc.
109
DefesasdeRede
ZonasDesmilitarizadas(DMZs)
UmaDMZcorrespondeaosegmentoderedeparcialmente
protegido,queselocalizaentreredesprotegidaseredes
desprotegidasequecontmtodososservioseinformaes
paraclientesoupblicos.
ADMZpodetambmincluirregrasdeacessoespecficoe
sistemasdedefesadepermetroparaquesimuleumarede
protegida,induzindoospossveisinvasoresparaarmadilhas
virtuaisdemodoasetentarlocalizaraorigemdoataque.
Oresultadoumapartesemipblicadaredeeumamais
privadadarede.
copyleft@TiagoEugeniodeMelo,M.Sc.
110
DefesasdeRede
ZonasDesmilitarizadas(DMZs)
Arquitetura
Referncia:
http://www.projetoderedes.com.br/artigos/artigo_redes_de_perimetro.php
copyleft@TiagoEugeniodeMelo,M.Sc.
111
DefesasdeRede
SistemasdeDetecodeIntruso(IDSs)
Oqueso?
Somonitoresderede.
Oquefazem?
Alertamsobreumataquebemsucedido,ouatmesmodeum
ataqueemdesenvolvimento.
Informaqualoataqueedeondeestvindo.
Oproblemamaisdifcilsoosalarmesfalsos.
Tipos:
Detecopormauuso.
Detecoporanomalia.
copyleft@TiagoEugeniodeMelo,M.Sc.
112
DefesasdeRede
SistemasdeDetecodeIntruso(IDSs)
CaractersticasdesejveisdeumaferramentadeIDS:
Deverodarcontinuamenteseminteraohumanaedeveser
seguraosuficientedeformaapermitirsuaoperaoem
background,masnodeveserumacaixapreta(acessoao
cdigofonte).
Sertoleranteafalhas,deformaanoserafetadaporumaqueda
dosistema,ouseja,suabasedeconhecimentonodeveser
perdidaquandoosistemaforreinicializado.
Resistiratentativasdemudana(subverso)desuabase,ouseja,
devemonitorarasiprpriodeformaagarantirsuasegurana.
copyleft@TiagoEugeniodeMelo,M.Sc.
113
DefesasdeRede
SistemasdeDetecodeIntruso(IDSs)
CaractersticasdesejveisdeumaferramentadeIDS:
Teromnimodeimpactonofuncionamentodosistema.
Poderdetectarmudanasnofuncionamentonormal.
Serdefcilconfigurao,cadasistemapossuipadresdiferentes
eaferramentadeIDSdeveseradaptadadeformafcilaos
diversespadres.
Cobrirasmudanasdosistemaduranteotempo,comonocaso
deumanovaaplicaoquecomeceafazerpartedosistema.
Serdifcildeserenganada.
copyleft@TiagoEugeniodeMelo,M.Sc.
114
DefesasdeRede
SistemasdeDetecodeIntruso(IDSs)
Referncias:
IntroduoaosSistemasdeDetecodeIntruso
http://www.gta.ufrj.br/grad/03_1/sdi
RedeNacionaldeEnsinoePesquisa
http://www.rnp.br/newsgen/9909/ids.html
copyleft@TiagoEugeniodeMelo,M.Sc.
115
DefesasdeRede
PotesdeMeleAlarmesContraRoubo
Osalarmescontraroubosoespecficosnarede,projetadas
paradispararemseumhackertocarneles.
Ospotesdemelsoalarmescontrarouboenfeitadosparaque
separeamparticularmenteatraentesaoshackers.
Osprimeirossomaissimplesdeseremconstrudos.
Exploramavantagemqueoadministradordaredetemsobreo
hacker:conhecimentodarede.
copyleft@TiagoEugeniodeMelo,M.Sc.
116
DefesasdeRede
AnalisadoresdeVulnerabilidade
Programaautomatizadoqueanalisaaredeparaumaimensa
listadefraquezasconhecidas.
Possuemlimitaes,poisnopodemanalisarrealmentetodas
asvulnerabilidades,enempodemrealmentemedirosefeitos
desuasaes.
copyleft@TiagoEugeniodeMelo,M.Sc.
117
SeguranadeRede
SeguranadoEmail
Oqueseespera?
Queremosnoscertificardequeningum,almdodestinatrio
intencionado,possaleramensagem.
Queremosnoscertificardequeumamensagemdeemailveio
dapessoaqueafirmatervindo,equeningumpoderforjaras
mensagensdoemail.
Umasoluoousodecriptografia.
copyleft@TiagoEugeniodeMelo,M.Sc.
118
ConfiabilidadedoSoftware
Falhasnocdigo
difcilacabarcombugsdesoftwarequeafetamo
desempenho;localizarfalhasdesoftwarequeafetama
seguranaaindamaisdifcil.
Asfalhasqueafetamodesempenhosoobservadas,enquanto
queasfalhasdeseguranapodempermanecerinvisveispor
umlongotempo.
Estourosdebuffer
Soaformamaiscomumdevulnerabilidadedesegurananos
ltimosdezanos.
Fcildeserexplorada.
copyleft@TiagoEugeniodeMelo,M.Sc.
119
ConfiabilidadedoSoftware
Onipresenadocdigocomfalhas
EstimativasdaUniversidadedeCarnegieMellonmostramque
millinhasdecdigonormalmentepossuemdecincoaquinze
bugs.
Estimativasinformamquemaisde99%detodososataquesna
internetpoderiamserimpedidosseosadministradoresde
sistemasimplesmenteusassemasversesmaisrecentesdoseu
softwarenosistema.
Aevoluodosoftwarenogarantiadaeliminaodebugs.
copyleft@TiagoEugeniodeMelo,M.Sc.
120
HardwareSeguro
Resistnciafalsificao
Emgeral,ohardwareprovadefalsificaoperfeitopara
relacionamentosdeconfianacomplexos,ondeumapartedeseja
colocarumdispositivoseguronasmosdeoutra,comacertezade
queasegundapartenopodermodificarointeriordodispositivo
seguro.
Oproblemabsicoqueohardwareprovadefalsificaono
existe.
Apesardeserumgrandemito,aresistnciafalsificaooferece
umabarreiraparaaentrada.
Aresistnciafalsificaodeverserreforadaporoutras
contramedidas.
Qualquersistemaondeodispositivoeossegredosdentrodele
estiveremsobocontroledediferentespessoaspossuiumafalhade
seguranafundamental.
copyleft@TiagoEugeniodeMelo,M.Sc.
121
HardwareSeguro
Ataquescolaterais
Soataquesquevisamdetalhesdeimplementaoespecficos.
Aanlisecrticanoataquedetemporizao.
Exemplo:verificadordesenhas.
copyleft@TiagoEugeniodeMelo,M.Sc.
122
HardwareSeguro
Ataquescontracartesinteligentes
Oscartesinteligentessoferramentasdefinalidademltipla
quepodemserusadasparacontroledeacesso,ecommerce,
autenticao,proteodeprivacidadeeumasriedeoutras
aplicaes.
Oprocessadoreamemriadentrodeleso(supostamente)
invulnerveisaataques.
Comoexisteumagrandequantidadedepartesenvolvidas,
tornaessescartesmuitosuscetveisamuitasclassesde
ataques.
copyleft@TiagoEugeniodeMelo,M.Sc.
123
TruquesdeSegurana
Acessodogovernoschaves.
Ogovernoamericanotemtentadoforaropblicoamericanoa
aceitaraidiadequeelesdeverodar,aalgumparceiro
aprovadopelogoverno,acessosuaprivacidade.
Eufemismos:
Recuperaodechaves.
Criptografiaconfiadaaterceiros.
Acessoexcepcional.
Recuperaodemensagem.
Recuperaodedados.
copyleft@TiagoEugeniodeMelo,M.Sc.
124
TruquesdeSegurana
Funcionamento:
Primeiro,ummecanismo,externoaosistemaprincipal,peloqualum
terceiropodeobteracessocompletoaotextodosdados
criptografados.
Segundo,aexistnciadeumachavederecuperaosecreta
altamentesensitiva(oucoleodechaves)queprecisaserprotegida
porumperododetempoestendido.
Dificuldades:
Sosistemasmenosseguros.
Maiscaros.
Maisdifceisdeseusar.
Exigeproibiolegaldeprodutosdiferentes.
Desconhecimentoatualporpartedosprofissionaisdarea.
copyleft@TiagoEugeniodeMelo,M.Sc.
125
TruquesdeSegurana
SeguranadoBancodeDados
Osbancosdedadospodemserconfiguradosparamostrarem
apenascertoscamposacertosusurios.
Usodeprotocolosdeautenticaoelistasdecontrolede
acesso.
Muitomaisdifcillidarcomconsultasemqueousuriopode
verinformaesdeagregao,masnopodeverentradas
individuais.
Oproblemadefazerinferncia.
copyleft@TiagoEugeniodeMelo,M.Sc.
126
TruquesdeSegurana
Esteganografia
Aesteganografiaapenasnosuficiente.
Umproblemaalarguradebanda.
Umaalternativausarumamensagemsecretamuito,muito
menordoqueamensagempblica.
Issochamadodecanalsubliminar.
copyleft@TiagoEugeniodeMelo,M.Sc.
127
TruquesdeSegurana
MarcaDguaDigital
Oobjetivomanterocontrolesobreapropriedadeintelectual.
Problemas:
Osmecanismosparaamarcadguaacabarosetornando
pblico.
Outravulnerabilidadequeelanoresolveoproblemabsico."
copyleft@TiagoEugeniodeMelo,M.Sc.
128
TruquesdeSegurana
Proteocontracpia
Problemaseaplicaavriosprodutos,almdesoftware:livros,
filmes,vdeosetc.
Algumassolues:
Cdigoincorporadonosoftwarequedesativaacpia.
Cdigoqueutilizaaspectosnocopiveisdodiscooriginal.
Dispositivosdehardwarequeosoftwareprecisapararodar.
Porm,qualqueresquemadeproteocontracpiapodeser
quebrado.
Odongleumdispositivodehardware,largamenteutilizado,
queseencaixanocomputador,normalmentenaportaparalela.
Possvelestratgiacomercial:Sealgoserpirateado,ento
quesejaomeuprodutoenoodoconcorrente(Microsoft).
copyleft@TiagoEugeniodeMelo,M.Sc.
129
TruquesdeSegurana
Apagandoinformaesdigitais
Amaneiraderealmenteapagarumarquivodeumdisco
magnticoregravlocomumnovoarquivo.
Algunsutilitriosdearquivoparaapagarfazemisso.
Existeumatcnicachamadamicroscopiadeforamagntica
quepodeserusadapararecuperardadosmesmodepoisque
elesforamregravadosvriasvezes.
Osdadostambmsodifceisdeseapagarnohardware.Tanto
SRAMquantoDRAMretmalgunsrestosdosdadosapsa
perdadaenergia.Osbitspodemserrecuperadosdetectandose
eletronicamenteasmudanasnospatamaresdaclulacom
basenocontedoanteriordaclula.
copyleft@TiagoEugeniodeMelo,M.Sc.
130
FatorHumano
Introduo
Aspessoasnormalmenterepresentamoelomaisfracona
correntedaseguranaecronicamentesoresponsveispela
falhadossistemasdesegurana.
Risco
Aspessoasnosabemcomoanalisarriscos.
Grandepartedasproteessobaseadasemprobabilidades.
Tratamentodeexceo
Umperigodossistemascomputadorizadosqueelescometam
errostoraramentequeaspessoasnosaibamcomolidarcom
eles.
copyleft@TiagoEugeniodeMelo,M.Sc.
131
FatorHumano
InterfaceHomemMquina
Aspessoasqueremsegurana,masnoqueremvla
funcionando.
TransfernciaHomemMquina
Oproblemafundamentalquevocpodenoteridiaalguma
quantoaoqueocomputadorestrealmentefazendoquando
voclhedizparafazeralgo.
copyleft@TiagoEugeniodeMelo,M.Sc.
132
FatorHumano
Internosmaliciosos
Oprincipalproblemaque,implicitamente,elesso
consideradosconfiveis.
Aauditorianormalmentedeterminaaspartesculpadas,mas
noconsegueevitarosfatos.
Possveissolues:
Contrataodepessoashonestas(maisfcilnodiscurso).
Difusodaconfiana.
Auditoria.
copyleft@TiagoEugeniodeMelo,M.Sc.
133
FatorHumano
EngenhariaSocial
Ummododeaodoinvasortelefonarparaosempregados
daempresa.
Aengenhariasocialotermodecrackerparaumjogode
trapaa:persuadiraoutrapessoaafazeroquevocdeseja.
Elaconseguecontornaracriptografia,seguranade
computador,seguranaderede,atingindooelomaisfraco:o
serhumano.
copyleft@TiagoEugeniodeMelo,M.Sc.
134
EstratgiasdeSeguranaVulnerabilidades
Emgeral,existemcincoetapasparaumataquebem
sucedido:
Identificaroalvoespecficoqueseratacadoecoletar
informaessobreessealvo.
Analisarasinformaeseidentificarumavulnerabilidadeno
alvo,querealizarosobjetivosdoataque.
Obterumnveldeacessoapropriadoaoalvo.
Realizaroataquenoalvo.
Completaroataque,oquepodeincluiraeliminaoda
evidnciadoataque,evitandoaretaliao.
copyleft@TiagoEugeniodeMelo,M.Sc.
135
EstratgiasdeSeguranaVulnerabilidades
Contramedidas
Somtodosparareduzirasvulnerabilidades.
Assimcomooataqueaumsistemamaiscomplicadodoque
simplesmenteencontrarumavulnerabilidade,adefesadeum
sistemamaiscomplicadadoqueainclusodeuma
contramedida.
Existemtrspartesdeumconjuntoeficazdecontramedidas:
Proteo.Ex:criptografia,firewalls,senhas.
Deteco.Ex:sistemadedetecodeintruso.
Reao.Ex:sistemadeloginquetravaousurio.
copyleft@TiagoEugeniodeMelo,M.Sc.
136
EstratgiasdeSeguranaVulnerabilidades
Contramedidas
Mecanismosdeproteofortessignificamquevocno
precisadebonsmecanismosdedetecoereao.
Mecanismosdeproteofracosouaindanenhummecanismo
deproteosignificamquevocprecisademelhores
mecanismosdeproteoedeteco.
Aconfianasingulardaseguranadigitalnosmecanismosde
proteoerradaeoprincipalmotivoporquevemosataque
apsataquecontraossistemas.
copyleft@TiagoEugeniodeMelo,M.Sc.
137
EstratgiasdeSeguranaVulnerabilidades
Opanoramadavulnerabilidade
Podeserdivididoemquatrocategorias:
Mundofsico.
Mundovirtual.
Modelodeconfiana.
Ciclodevidadosistema.
copyleft@TiagoEugeniodeMelo,M.Sc.
138
EstratgiasdeSeguranaVulnerabilidades
Seguranafsica
Aseguranafsicaumproblemaqueomundotemtentado
solucionardesdeoinciodostempos:anoodepropriedade.
Paredes,cadeados,guardasarmadossoferramentasda
seguranafsica.
Aomontarsistemasdeseguranadigital,osprojetistas
normalmenteseesquecemdaseguranafsica.Ex:roubode
laptops.
Seguranavirtual
Umbomsistemautilizavriascontramedidasdiferentesem
conjunto:firewallsprotegendooacessoaossistemasporpessoas
defora,autenticaoforteparagarantirquesomenteosusurios
autorizadosseconectemehajacriptografiadedadosdepontaa
ponta.
copyleft@TiagoEugeniodeMelo,M.Sc.
139
EstratgiasdeSeguranaVulnerabilidades
Modelodeconfiana
Omodelodeconfianarepresentacomoumaorganizao
determinaaquemelaconfiaseusoupartesdeseusbens.
Nomundofsicorelativamentefcilidentificaraqueles
indivduosquesoconfiveiseaquelesquenoso.
copyleft@TiagoEugeniodeMelo,M.Sc.
140
EstratgiasdeSeguranaVulnerabilidades
Ciclodevidadeumsistema
Oambientedetrabalhonomundovirtualosoftwarerodando
noscomputadoresdarede.
Oscrackerspodematacaressesoftwareemqualquerpartedo
seuciclodevida.
Exemplos:
Umdesenvolvedordesoftwaremaliciosopoderia
intencionalmentedeixarumaportaabertadosfundosnaltima
versodosistemaoperacional.
Umadversriopoderiacolocarumcavalodetriaemumbrowser
nainternetedistribulogratuitamente.
Poderiaescreverumvrusecolocloemumanexoexecutvelde
umamensagemdeemail.
copyleft@TiagoEugeniodeMelo,M.Sc.
141
EstratgiasdeSeguranaVulnerabilidades
Aplicandocontramedidasdemodoracional
Fazmaissentidoaplicarcontramedidasuniformementeatravs
dopanorama.
Aidiaseprotegercontraasameaasqueimpemomaior
risco,emvezdeseprotegercontraasameaasmaisaparentes
enquantoseignoratodasasoutras.
Aidiatambmtomardecisesdeinvestimentoracionaisna
aplicaodecontramedidas.
Ovalornormalmentedependedocontextoenemsempreo
mesmoparaatacantesedefensores.
copyleft@TiagoEugeniodeMelo,M.Sc.
142
EstratgiasdeSeguranaAvaliaodeRisco
Introduo
Amodelagemdeameaaaprimeiraetapaemqualquer
soluodesegurana.
Amodelagemdeameaaalgodifcildeserfeito,sendouma
habilidadequesseadquirecomaexperincia.
Elaenvolvepensarsobreumsistemaeimaginarovasto
panoramadavulnerabilidade.
copyleft@TiagoEugeniodeMelo,M.Sc.
143
EstratgiasdeSeguranaAvaliaodeRisco
Eleiesjustas
Considerandoumsistemaeleitoral,possvelidentificar
muitospontosdeataque.Podeseatacaroseleitores,osjuzes
eleitorais,ascaixasdecdulas,asmquinasdecontagemde
votos,asligaestelefnicasouopontocentral.
Osubornoaoseleitoresummodoconsagradodefraudaruma
eleio.
Podesetentarenganarosjuzeseleitorais.
Asurnaspodemsercompletadascomcdulas.
Oataquemquinadecontagemdevotosmaisfcil.
Oobjetivodesteexemplomostrarqueexistemmuitos
caminhosdeataquecontraumsistema,ecomopoucosdeles
envolvemapartecomputadorizadadoprocesso.
copyleft@TiagoEugeniodeMelo,M.Sc.
144
EstratgiasdeSeguranaAvaliaodeRisco
Telefonesseguros
Hmuitascoisasquepodemosfazerquenoenvolvem
diretamenteotelefoneseguro:instalarescutasdentrode
telefonesseguros,subornaraspessoasquefazemerecebemas
chamadaseassimpordiante.
Umoutroataquecomumfazercomqueostelefonesno
funcionem.
copyleft@TiagoEugeniodeMelo,M.Sc.
145
EstratgiasdeSeguranaAvaliaodeRisco
Emailseguro
Acriptografiafazduascoisas:ofereceumaassinaturadigital
paraautenticidadeecriptografiaparaprivacidade.
Acriptografiadeemailmaisarriscadadoqueacriptografia
deligaestelefnicas.Paratelefones,ainformaosest
emriscopeladuraodachamada.Paraoemail,quepode
estararmazenadonosdoisladosporperodosdetempo
considerveis,ainformaoestemriscotambmenquanto
repousa.
copyleft@TiagoEugeniodeMelo,M.Sc.
146
EstratgiasdeSeguranaAvaliaodeRisco
Avaliaoderisco
Nobastaapenaslistarasameaas,masprecisosabero
quantodevesepreocuparcomcadaumadelas.
Aidiabsicaapanharasameaas,estimaraperdaesperada
porincidenteeonmeroesperadodeincidentesporanoe
depoiscalcularaexpectativadeperdaanual.
Exemplos:
Seoriscoforumaintrusonaredeporhackersprocurandoalgopara
fazer,aperdaesperadaporincidentepoderiaserdeR$10.000,00
Onmerodeincidentesporanopoderiasertrspordia,oumilpor
ano.
IssosignificaqueaexpectativadeR$10.000,00.
EntoaaquisiodeumfirewallporR$25.000seriabemrazovel.
copyleft@TiagoEugeniodeMelo,M.Sc.
147
EstratgiasdeSeguranaAvaliaodeRisco
Avaliaoderisco
Algunsriscospossuemumaprobabilidadedeincidnciamuito
baixa.
Osetordesegurosfazessetipodeclculootempotodo;
assimqueelescalculamosprmios.Elesdescobrema
expectativaparaumdeterminadorisco,incluemalgumextra
paraseucustooperacional,maisoriscoeusamoresultado
comoocustodeumprmiodesegurocontraesserisco.
comumtambmmuitochutenessevalordaexpectativa.
Paraaanlisederiscorelacionadaaocomputador,umasrie
deferramentascomerciaisoferecemodelosemetodologias
paraserealizaraanlisederisco.
copyleft@TiagoEugeniodeMelo,M.Sc.
148
EstratgiasdeSeguranaAvaliaodeRisco
Afinalidadedamodelagemdeameaa
Aoprojetarumsistemadesegurana,vitalfazeressetipode
modelagemdeameaaeavaliaoderisco.
Atividades:
Entenderasameaasreaisaosistemaeavaliaroriscodessasameaas.
Descreveradiretrizdeseguranaexigidaparadefendercontraas
ameaas.
Projetarascontramedidasqueimponhamadiretrizdescrita
anteriormente.
Naturalmente,essemodelosequencialideal,eomundoreal
normalmentenocoopera.Provavelmente,seucaminhode
engenhariairseparecermaiscomumespiral,ondevocrepeteas
trsetapasanterioresvriasvezes,cadaumachegandomaisemais
pertodaseguranareal.
copyleft@TiagoEugeniodeMelo,M.Sc.
149
EstratgiasdeSeguranaDiretrizesdeSegurana
Introduo
Otruqueprojetarsistemasquesejamprotegidoscontrasas
ameaasreais,enousartecnologiasdeseguranaaesmo,
acreditandoqueissofaralgotil.
Omodocomoissodeveserfeitocriarumadiretrizdesegurana,
baseadanaanlisedeameaa,edepoisprojetarmecanismosde
proteoqueimplementemadiretrizdeseguranaelidemcomas
ameaas.
Diretrizdesegurana
Adiretrizdeseguranaparaumsistemadevedefinirosalvoseos
objetivos.
Boasdiretrizesreferemseaameaas.
Infelizmente,amaioriadasorganizaesnopossuiumadiretrizde
segurana.Ouentopossui,masningumasegue.
copyleft@TiagoEugeniodeMelo,M.Sc.
150
EstratgiasdeSeguranaDiretrizesdeSegurana
Softwaredeclienteconfivel
Sempreexistirumacomunidadeinteressadaemcrackear
programas.
Anicasoluopossvelcolocaromecanismode
criptografianohardwareseguroedepoisesperarqueisso
atraseosprofissionaisporalgunsanos.
FoiissoqueaindstriadeDVDaprendeuem1999.
Qualquerdiretrizdesegurananacionalreconhecerqueno
sepodedefendercontraospiratasprofissionaiscom
tecnologia.
copyleft@TiagoEugeniodeMelo,M.Sc.
151
EstratgiasdeSeguranaDiretrizesdeSegurana
Softwaredeclienteconfivel
Asoluoimplicaqueosprovedoresdecontedoseriam
inteligentesparaencontrarmeiosalternativosdeganhar
dinheiro.Exemplo:aspessoascompramoCDoriginalporque
gostamdoencartequevemjunto.
Umaoutraalternativaconsistenofinanciamentopblicode
bonsservios:televisopblica,artepblicaeartistasderua.
Aperformancegratuita,masascontribuiesindividuais
fazemcomqueelaacontea.
copyleft@TiagoEugeniodeMelo,M.Sc.
152
EstratgiasdeSeguranaDiretrizesdeSegurana
Mquinasdecaixasautomticas
Osmodelosdeconfianaeseguranasomaiscomplicadosdo
quepareceaprincpio.
Funcionamento:
Amquinaapanhaosdadosdousurio.
Enviaosparaalgumservidorcentralemalgumlugar.
Recebeumamensagemderetorno(fornecerdinheiro,no
fornecerdinheiro,noretornarocartoetc.)
Deveseterseguranacontra:
Algummexendonolinkdecomunicao.
Algumarrombandoocofre.
copyleft@TiagoEugeniodeMelo,M.Sc.
153
EstratgiasdeSeguranaDiretrizesdeSegurana
Mquinasdecaixasautomticas
Outrasquestes:
Opessoaldemanutenoprecisateracesso,tantoemhorrios
definidos,paramanutenoprogramada,quantoocasionalmente,
nocasodeumproblema.
Almdeumaeventualmudananocontratodemanutenoe
guarda.
Almdeumaquestofinanceira(qualquercaixaeletrnicos
valeocustodesubstituiomaisodinheironoseuinterior).
copyleft@TiagoEugeniodeMelo,M.Sc.
154
EstratgiasdeSeguranaDiretrizesdeSegurana
Mquinasdecaixasautomticas
Ooutrolado:
Olinkdecomunicaonoprecisasercriptografado,apenas
autenticado.
Oslogsdeauditoria,protegidoscomfunesdehash,devemser
armazenadosnocaixaeletrnicoenoservidor.
Osoftwaredeverserdifcildesemodificar,paraevitaro
problemadopessoaldemanutenoinjetarcavalosdeTriano
sistema.
Aseguranafsicadireta.Odinheirodevesermantidonum
cofre.
copyleft@TiagoEugeniodeMelo,M.Sc.
155
EstratgiasdeSeguranaDiretrizesdeSegurana
Terminaisdeloteriascomputadorizados
Basicamente,osvendedoresdeloteriaadquiremumpar
computador/impressoaseguro,queimprimeevalidaapostas
deloteria.
Asameaasso:
Osprpriosvendedorespodemcomprarosbilhetesdepoisque
osresultadosforemconhecidos;
Oualterandoosbilhetesjcompradosapsosresultadosserem
conhecidos;
Ouoperandoumterminalfalsoquecoletedinheiromasno
pagueprmioalgum.
Asoluoqueosterminaisdeveriamestaronline,eregistrar
todasasapostascomumservidorcentral.
copyleft@TiagoEugeniodeMelo,M.Sc.
156
EstratgiasdeSeguranaTesteeVerificaodoProduto
Introduo
Otestedesegurananormalfalhaporvriosmotivos:
Asfalhasdeseguranapodemapareceremqualquerlugar
(modelodeconfiana,noprojetodosistema,nosalgoritmose
protocolos,naimplementao,nocdigofonte&).
Umanicafalhapodequebrarcomaseguranadoproduto
inteiro.
Asnopodemserdescobertaspelotestebetanormal.
copyleft@TiagoEugeniodeMelo,M.Sc.
157
EstratgiasdeSeguranaTesteeVerificaodoProduto
Afalhadoteste
Otestefuncionalnoencontrarfalhasdesegurana.Ao
contrriodequasetodososoutroscritriosdeprojeto,a
seguranaindependedafuncionalidade.
Exemplo:testedeimpressodeumeditordetexto.
Aseguranatrabalhacomoimprevisvel.
Oqueumdesenvolvedordesistemaspodefazer?
Oidealqueeleparedeconfiarnosseusdesenvolvedoresde
casaetestadoresbeta.Eleprecisacontratarespecialistasde
seguranapararealizarseutestedesegurana.
Atualmenteasempresaslanamosprodutosinsegurose
consertamosproblemasdeseguranaquesodescobertose
publicadosapsofato.
copyleft@TiagoEugeniodeMelo,M.Sc.
158
EstratgiasdeSeguranaTesteeVerificaodoProduto
Descobrindoasfalhasdeseguranaapsofato
Aseguranaestficandomelhor,muitomaisrapidamente,porcausa
daampladivulgao.
Padresabertosesoluesdecdigofonteaberto
Umbomprojetodesegurananopossuisegredoemseusdetalhes.
Ossistemasdeseguranapblicosprovavelmenteseroexaminados
minuciosamente,sendomaissegurosdoqueossistemasquenoso
pblicos.Esseraciocnioseaplicadiretamenteaosoftware.
Ocontraargumentoqueapublicaodocdigofontesoferece
aoshackersainformaodequeelesprecisamparaencontrare
explorarasvulnerabilidades.
Noentanto,ocdigofonteabertonogarantesegurana.
copyleft@TiagoEugeniodeMelo,M.Sc.
159
EstratgiasdeSeguranaTesteeVerificaodoProduto
Engenhariareversaealei
Algumasempresasamericanastentaramsedefenderdadivulgao
doseucdigofontetornandoilegalaengenhariareversadeseu
software.
Issoabreumprecedenteperigoso.Asleisnoaumentamasegurana
dossistemasenemimpedemosatacantesdeencontraremfalhas,
culpandooutrosporsuaprpriainaptido.
Disputasdecrackingehacking
Asempresaspremiampessoasqueconseguempenetrarnasuarede.
Asdisputassoummodoterrveldedemonstrarinsegurana.
Asdisputasgeralmentesoinjustas.
Aanlisenocontrolada.
copyleft@TiagoEugeniodeMelo,M.Sc.
160
EstratgiasdeSeguranaTesteeVerificaodoProduto
Avaliandoeescolhendoprodutosdesegurana
Normalmente,asempresasnocriamseusprpriosprodutos
desegurana.Elassoforadasaescolherentreumconjunto
desoluesprontaseesperarpelomelhor.
Arealidadequeamaioriadosproblemasdesegurana
simplesmentenoestsobocontroledamaioriadaspessoas.
copyleft@TiagoEugeniodeMelo,M.Sc.
161
EstratgiasdeSeguranaOFuturodosProdutos
Introduo
Asfuturastecnologiasajudaroaosproblemasdesegurana?
Humagrandediscussoseaseguranaestsetornando
melhoroupior!
copyleft@TiagoEugeniodeMelo,M.Sc.
162
EstratgiasdeSeguranaOFuturodosProdutos
Complexidadeeseguranadosoftware
Ossistemasdigitaistmsetornadocadavezmaiscomplexos.
Acomplexidadeopiorinimigodasegurana.Razespara
isso:
Onmerodebugsdesegurana.
Amodularidadedossistemascomplexos.
Ainterconectividadedossistemascomplexos(sistemas
distribudoseemredesoinerentementearriscados).
Quantomaiscomplexoforumsistema,maisrecnditoeleser.
Adificuldadedeanlise.
Soosmaioresrequisitosdetesteparasistemascomplexos.
copyleft@TiagoEugeniodeMelo,M.Sc.
163
EstratgiasdeSeguranaProcessos
Introduo
Ainsegurananocomputadorinevitvel.
Atecnologiapoderepeliramaioriadosinvasorescasuais.
Asleispodemdeterou,pelomenos,perseguiramaioriados
criminosos.Masosinvasorespassaropelasbarreiras.
Atecnologiasozinhanopodenossalvar.
copyleft@TiagoEugeniodeMelo,M.Sc.
164
EstratgiasdeSeguranaProcessos
Princpios
Compartimente
Umpreceitosemelhanteodemenorprivilgio.
Exemplo:chavedaportadecasaparaaempregadadomstica.
Acompartimentaoumaseguranainteligente,poislimitao
danodeumataquebemsucedido.
Umaformadeataquecomumquandouminvasorrecebe
acessoaumacontadeusurioquebrandoumasenhaoualgo
assim,eletentadiversosataquesafimdeobterprivilgiosde
raiz.
Protejaoseuelomaisfraco
Omelhorlugarparadirecionarascontramedidasnoelomais
fraco.
copyleft@TiagoEugeniodeMelo,M.Sc.
165
EstratgiasdeSeguranaProcessos
Usepontosdeestrangulamento
Umpontodeestrangulamentoforaosusuriosapassarempor
umcanalestreito,quevocpodemonitorarecontrolarcom
maisfacilidade.
Exemplos:catracasdeumaestaodetrem,portasdecasas,
firewallseroteadores.
Noentanto,elessfuncionamsenohouverummeiode
contornlos.Exemplo:umaconexodialupdesprotegidana
rede.
Asredespossuembrechasmaissutisdessetipo.svezesuma
empresapossuiumaforteseguranaderedemontadae,por
algummotivo,ligaarededeoutraempresanotosegura.
copyleft@TiagoEugeniodeMelo,M.Sc.
166
EstratgiasdeSeguranaProcessos
Ofereadefesaemprofundidade
Defesaemprofundidadeoutroprincpiouniversalde
seguranaqueseaplicaacomputadoresetambmatudomais.
Exemplo:cartesdecrditoresistentesfalsificao
funcionammelhorquandocombinadoscomaverificaoon
lineeumsistemadebackendespecializado,queprocura
padresdegastossuspeitos.
copyleft@TiagoEugeniodeMelo,M.Sc.
167
EstratgiasdeSeguranaProcessos
Seguranacontrafalha
Muitossistemaspossuemumapropriedadechamadadedefault
parainsegurana.
Seosistemafalha,entoousurioreverteparaumsistemade
reservamenosseguro.
Oqueaspessoasdesejamqueossistemasfalhemcom
segurana,ouseja,falhemdetalmaneiraquesetornemmais
seguros,enomenos.
Exemplo:seosistemadeverificaodesenhadeumcaixa
eletrniconofunciona,eledeverfalhardetalformaqueno
lancedinheiroparafora.
copyleft@TiagoEugeniodeMelo,M.Sc.
168
EstratgiasdeSeguranaProcessos
Aproveiteaimprevisibilidade
Aseguranaporobscuridadedeveserevitada.
Umdospontosfortesqueumdefensortemcontraum
atacanteoconhecimentodoterreno.
Useasimplicidade
Alisteosusurios
Garantase
Questione
copyleft@TiagoEugeniodeMelo,M.Sc.
169
EstratgiasdeSeguranaProcessos
Detecoeresposta
Detecomuitomaisimportantedoquepreveno.
Osmecanismosdeprevenosobons,masapreveno
apenasumapartedasoluodeseguranaeapartemais
frgil.
Aseguranaeficientetambmincluidetecoeresposta.
Terceirizaodeprocessosdesegurana
Osprocessosdeseguranasoummeiodesuavizarosriscos.
copyleft@TiagoEugeniodeMelo,M.Sc.
170
SeguranaemLinux
Instalao
ExistemdiferenasentreasdistribuiesGNU/Linux:
Algumasferramentasdeinstalaoespecificamautomaticamente
quaisservidoresderedeestoativosequaisnoesto,outras
perguntamissoaousurio.
Issopodeafetaraseguranadosistema,poispodemexistir
inumrospacotesdesoftwareeservidoresinstalados,sobreos
quaisvocnoconhecenada.
copyleft@TiagoEugeniodeMelo,M.Sc.
171
SeguranaemLinux
Parties
Oquesoparties?
Aspartiessoreasemsuaunidadedediscoqueso
reservadasparaossistemasdearquivos.
Quandonoseusamltiplasparties,osdadospodemficar
espalhados,tornandoseinadmistrveisedesorganizados.
UmcenriocomumdepartionoLinuxsepararosarquivos
detroca,deumlado,eosistemadearquivosdeoutro.
Outrocenriocomumquandovocinstaladoisoumais
sistemasoperacionaisnamesmaunidadededisco,masem
partiesdiferenteseelaspodemcoexistirlivresdeproblemas.
copyleft@TiagoEugeniodeMelo,M.Sc.
172
SeguranaemLinux
Linuxcomoutrossistemasdearquivosnumanica
partio:
Seossistemasdearquivosraizeossistemasdearquivosde
usuriosestiveremnamesmapartio,aumentaraschances
deinvasoresexploraremreasrestritas.
Almdisso,colocaroLinuxemumanicapartionativa,
juntocomoutrossistemasdearquivostornadifcilavidado
administrador.
Aseparaomelhoraaseguranaetornagerencivelobackup
earecuperao.
copyleft@TiagoEugeniodeMelo,M.Sc.
173
SeguranaemLinux
Aspartiesmltiplasoferecemoutrasvantagens:
Fcilgerenciamentodebackupeatualizao.
Inicializaomaisrpida(emalgunscasos).
Capacidadedecontrolarcomocadasistemadearquivos
montado.
Evitaanegaoacidentaldeservios.
Protegeosistemadearquivosraizcontrainundaes
(spamming).Ex:arquivosdelogdo/var.
copyleft@TiagoEugeniodeMelo,M.Sc.
174
SeguranaemLinux
AdministraoBsica
Contas
Vocnuncadeveutilizarorootparapropsitospessoais,exceto
quandoabsolutamentenecessrio,comoduranteumasituaode
recuperao.
Umaconta,nosentidogeral,consistededoiselementos:
Autorizaoparaefetuarlogin.
Autorizaoparaacessarservios.
copyleft@TiagoEugeniodeMelo,M.Sc.
175
SeguranaemLinux
Contas
Sefornecessrioconcederacessodeshellausuriosenquanto
estiverconstruindoumaredeLinux,deveseobservaros
seguintespassos:
Disponhaumamquinaespecificamenteparaacessodeshell.
Restrinjaessamquinasomenteparautilizaodeshell.
Mantenhaforadelaosserviosnoessenciaisderede.
Probarelacionamentosdeconfianaentreshelleoutrasmquinas.
Redirecionelogsparaumservidordelogou,seseuoramento
permitir,umamdiawriteonceeregistretudoemlog.
Nosentidoestrito,umacontaconsistenoseguinte:
Umnomedeusurioeumasenhavlida.
Umdiretrioinicial(home).
Acessodeshell.
copyleft@TiagoEugeniodeMelo,M.Sc.
176
SeguranaemLinux
Contas
Quandoumusuriotentaseconectar,oLinuxverificaseesses
prrequisitosestocorretosexaminandooarquivopasswd.
Oarquivo/etc/passwdconsisteementradasdecontasdeusurio.
Cadalinhaarmazenaumregistrodecontaecadaregistro
consisteemsetecamposseparadospordoispontos.
Exemplo:
tiago:x:501:501:TiagodeMelo:/home/tiago:/bin/bash
Campo1:nomedousurio.
Campo2:senhacriptografada.
Campo3:userID(UID).
Campo4:grupoID(GID).
Campo5:nomeverdadeiro.
Campo6:posioinicialdousurio.
Campo7:usuriodeshell.
copyleft@TiagoEugeniodeMelo,M.Sc.
177
SeguranaemLinux
Aadiodeumnovousuriopodeserrealizadadetrs
maneiras:
Atravsdeferramentasgrficas.
Utilizandolinhasdecomando.
Editandoo/etc/passwdmanualmente.
Aremoodousurioatravsdedoispassos:
Remoodassuasentradasde/etc/passwd.
Remoododiretrioinicial/home/username.
AssenhasdeLinuxsocriadasutilizandoumalgoritmode
criptografiachamadoDataEncryptionStandard(DES).
copyleft@TiagoEugeniodeMelo,M.Sc.
178
SeguranaemLinux
Controledeacesso
Ocontroledeacessoqualquertcnicaqueseletivamente
concedeounegaacessodeusuriosarecursosdesistema,o
queincluiarquivos,diretrios,volumes,unidades,servios,
hosts,redeseassimpordiante.
NoLinuxpossvellimitaroacessodousurioaosarquivos
atravsdepermisses.
Exemplo:
drwxrxrx12rootroot4096Apr242003.TeXmacs
Existemduaspermissesespeciaisdearquivo:
SGID(configuraoIDdegrupo).
SUID(configuraoIDdeusurio).
copyleft@TiagoEugeniodeMelo,M.Sc.
179
SeguranaemLinux
Elessoditosespeciaisporqueaspermissesdeproprietrio
soimpostasmesmoquandooutrosusuriososexecutam.
Isto,umprogramaconfiguradocomoSUIDderootsempre
executarcomoroot,mesmoseumusuriocomumestiver
utilizando.
Poressarazo,osarquivosSGIDeSUIDpodemserum
perigodesegurana.
copyleft@TiagoEugeniodeMelo,M.Sc.
180
SeguranaemLinux
Sombreamentodesenha
Osombreamentodesenhaumatcnicaemque/etc/passwd
permanecelegvel,masnocontmmaissenhas.
Emvezdisso,assenhasdeusuriosoarmazenadasem
/etc/shadow.
Issoimpedeoatacantedeteracessospasswordscodificadas
comaqualexecutaumataquededicionrio.
AferramentaPasswordShadowSuite(shadow)amais
popular.
Oarquivo/etc/shadowassemelhasea/etc/passwd.
copyleft@TiagoEugeniodeMelo,M.Sc.
181
SeguranaemLinux
Sombreamentodesenha
Oshadowimplementadoisnovosconceitosmuitoalmda
manutenobsicadebancodedadosdesenha:
Passwordcomtempodeexpirao.
Bloqueiodecontaautomtico.
Referncia:
http://www.microlink.com.br/~buick/dragons/op1/howtos/brshadow.html
Osombreamentodesenhaumatcnicaemque/etc/passwd
permanecelegvel,masnocontmmaissenhas.
Emvezdisso,assenhasdeusuriosoarmazenadasem/
etc/shadow.
AferramentaPasswordShadowSuite(shadow)amais
popular.
copyleft@TiagoEugeniodeMelo,M.Sc.
182
SeguranaemLinux
Sombreamentodesenha
Oarquivo/etc/shadowassemelhasea/etc/passwd.
Oshadowimplementadoisnovosconceitosmuitoalmda
manutenobsicadebancodedadosdesenha:
Idadedesenha.
Bloqueiodecontaautomtico.
Escolhadesenhaporhumanos
Osusurioscriamsenhas,frequentemente,baseadosem:
Datadenascimento.
CPF.
Nomesdosfilhos,artistasfamosos.
Palavrasdodicionrio.
Programasdequebradesenhapodemtrabalharcommais
facilidadecomessetipodesenha.
copyleft@TiagoEugeniodeMelo,M.Sc.
183
SeguranaemLinux
Sombreamentodesenha
Verificaopreventivadesenha
Naverificaopreventivadesenhavoceliminasenhasfracas
antesqueelassejaminseridasnobancodedadosdesenhas.
Ferramentas:
passwd+
Anlpasswd
npasswd
copyleft@TiagoEugeniodeMelo,M.Sc.
184
SeguranaemLinux
Comandosteisparaadministraodecontas:
Criaodeconta
adduser[usurio]
Aconfiguraodocomandoficanoarquivo/etc/adduser.conf
Definiodoperododetrocadesenha
Asenhadousurioexpiraraps10diasdeuso(x10)eser
avisadocom3diasdeantecedncia(w3).
Geraoaleatriadesenha
passwdx10w3[usurio]
makepasswdchars8>Xnnzs1mH
Atualizaodesenhasdemltiplascontas
chpasswd[arquivo]
copyleft@TiagoEugeniodeMelo,M.Sc.
185
SeguranaemLinux
Ataquesdesenha
Oqueumataquedesenha?
Qualqueraoparaquebrar,decriptarouexcluirsenhas,oude
outromodosuperarmecanismosdeseguranadesenha.
Assenhaspodemserquebradasporduasrazes:
Ofatorhumano.Osusuriosnormalmenteescolhemsenhascom
caractersticasfracas.
Poucaseguranadosistema.
copyleft@TiagoEugeniodeMelo,M.Sc.
186
SeguranaemLinux
Tiposdeataquedesenha:
Deduo
umtipodeataquesimples.
Engenhariasocial
Ocrackerseaproveitadaingenuidadedosusuriosquedeixam
assenhasembrancoouqueusamsenhasfceisdeserem
descobertas.
Estetipodeataquefeitoatravsdapesquisadedadospessoais
eoutrascaractersticasrelacionadasaousurio.
Ataquespordicionrio
Elesegueosseguintespassos:
Nestes,osinvasorespegamdicionrioslongaslistasdepalavrase
oscriptografamutilizandoDES.
Depoiscomparacomassenhasde/etc/passwd.
copyleft@TiagoEugeniodeMelo,M.Sc.
187
SeguranaemLinux
Tiposdeataquedesenha:
Forabruta
Depossedoarquivo/etc/passwd,ocrackerutilizauma
ferramentaquetentadiversascombinaesdecaracteresna
tentativadedescobrirumasenha.
Esteataque,normalmente,oltimorecursoapsoataquede
dicionrio,poislevamuitotempoparadescobrirumasenha.
Monitoraodetoquesdoteclado
Processo:
Umprogramainstalado,semoconhecimentodousurio,egrava
todosostoquesdotecladoemumarquivoescondidopelocracker.
Apscertotempoocrackerobtmacessoaoarquivoeaosdados
queelecontm.
EsteataquemuitocomumemsistemasDOSeWindows.
Estetipodeataquemuitoperigoso.
copyleft@TiagoEugeniodeMelo,M.Sc.
188
SeguranaemLinux
Tiposdeataquedesenha:
Loginfalso
Estaumaformarpidadeseconseguiracessoaumsistema.
criadaumateladeloginidnticaaoriginaldosistema,sque
aodigitaronomeeasenha,estesserogravadosemumarquivo
eserexibidaumamensagemdeerro.
Referncia:
http://focalinux.cipsga.org.br/guia/avancado/chdcontas.htm
copyleft@TiagoEugeniodeMelo,M.Sc.
189
SeguranaemLinux
Dicasparacriaodesenhas:
Umaboasenhanuncadeverserlida,masfcildelembrar.
Umaboasenhadeveconterletrasenmeros.
Asenhadeveter,pelomenos,8caracteres.
Deveseevitarsenhas:
Compostasporletrasounmerosemseqnciacrescenteou
decrescente.Exemplo:12345ouabcde.
Palavrascomgostopessoal.Exemplo:corinthiansoulinux.
Idade,datadeaniversrio,nmerodeidentidadeouplacade
carro.
Palavrasexistentes.
Commenosde8caracteres.
copyleft@TiagoEugeniodeMelo,M.Sc.
190
SeguranaemLinux
Recuperaodesenhadoroot
Passos:
Darobootnamquina.
Entrarnomodomonousrio(single).
Mudeasenha
linux=single.
boots(FreeBSD).
Atravsdocomandopasswd.
Atravsdaediodoarquivo/etc/passwd.
Reinicieamquina.
copyleft@TiagoEugeniodeMelo,M.Sc.
191
SeguranaemLinux
FerramentaCrack
Objetivo
AuditoriadesenhaparaaplataformaUNIX.
Requisitos
LinguagemC.
Usuriodeverserroot.
Download
www.users.dircon.co.uk/~crypto/index.html
Fasesparafuncionamento
Desempacotarocrack.
Criarocrack.
Executarocrack.
Visualizarseusresultados.
copyleft@TiagoEugeniodeMelo,M.Sc.
192
SeguranaemLinux
Boasregrasparaoadministrador:
Usarumsistemasombreado.
Assenhasdevemexpiraracada6090dias,comumavisode5
diaseumbloqueiode1semana.
Imponharegrasparaadefiniodesenhas.
Execute,umavezporms,oCrack.
Semantenhaatualizado,atravsdosinformesdofornecedore
slistasdesegurana.
Forneapelomenosumaeducaobsicasobreseguranade
senhaaosseususurios.
copyleft@TiagoEugeniodeMelo,M.Sc.
193
AuditoriadeSistemas
Introduo
cadavezmaioronmerodeempresasqueutilizamde
tecnologiadainformaoparaautomatizarsuasoperaes.Por
isso,cadavezmaisasequipesdeauditoriateroqueusar
comoevidnciadadosprovenientesdesistemas
informatizados.
Porm,nosedevepartirdoprincpiodequedadosextrados
docomputadorsoconfiveis.
possvelqueerrosefraudesnosejamdetectadosporcausa
daenormequantidadededadoscontroladospelossistemas,da
possveldiscrepnciaentreoqueestarmazenadoeoque
efetivamenteemrelatriosdesada,edamnimanecessidade
deintervenohumananoprocesso.
copyleft@TiagoEugeniodeMelo,M.Sc.
194
AuditoriadeSistemas
Introduo
Parausardadosdecomputador,aequipedeverlevarem
consideraoasseguintesquestes:
Qualaimportnciadessesdadosparaoalcancedosobjetivosda
auditoria?
Osdadospodemserconsideradoscompletoseexatos?
Oquesesabesobreosistemaqueosprocessou?
Paraqualfinalidadeosdadosseroutilizados?
Fornecimentodehistricoourelatodefatosnosignificativos
paraosresultadosdotrabalho.
Atingirosobjetivosdaauditoria.
copyleft@TiagoEugeniodeMelo,M.Sc.
195
AuditoriadeSistemas
Aequipeterqueplanejarumprocedimentoalternativo,
nocasodosdadosnoseremconfiveis:
Obterdadosdeoutrasfontes,cujaconfiabilidadepossaser
confirmada;
Coletardadosprimriosparaatenderaosobjetivos,emvezde
utilizarfontessecundrias.
Redefinirosobjetivosdaauditoria,paraeliminara
necessidadedeutilizardadosnoconfiveis.
Utilizarosdados,explicandosualimitaoeabstendosede
extrairconclusesourecomendaes.
Interromperatarefasenenhumaoutraalternativaforpossvel.
copyleft@TiagoEugeniodeMelo,M.Sc.
196
AuditoriadeSistemasMtodosdeAvaliao
Existembasicamentedoismtodosparaaavaliaoda
confiabilidadededadosextradosdecomputadores:
Avaliaodosistema
Testaeavaliacomprofundidadetodososcontrolesnumsistema
informatizado,abrangendosuasaplicaeseprodutos.
Osprocedimentosso:(1)examedoscontrolesgeraisede
aplicativosdosistema;(2)testedaobservnciadoscontroles;(3)
testedosdadosproduzidospelosistema.
Estetipodeavaliaotendeaconsumirmuitotempoeexigea
participaodeumespecialistanareadeAuditoriadeSistemas
Informatizados.
copyleft@TiagoEugeniodeMelo,M.Sc.
197
AuditoriadeSistemasMtodosdeAvaliao
Avaliaolimitada
direcionadaparadadosespecficos.
Elarequerumaavaliaomenosprofundadoscontrolesgeraise
deaplicativos,podendoserrealizadaporequipescompostas,
somenteportcnicosgeneralistas.
copyleft@TiagoEugeniodeMelo,M.Sc.
198
AuditoriadeSistemasMtodosdeAvaliao
Aavaliaolimitadasegueosseguintespassos:
Determinaodousodosdados.
Oprimeiropassodecidircomoelesseroutilizadosparase
alcanarosobjetivosdeauditoria.
Definiodosdadosquedeverotersuaconfiabilidade
avaliada.
Emseguida,determinasequaisgruposdedadosprecisaroter
suaconfiabilidadeavaliada.
Podemacontecertrssituaes:(a)dadosclassificadoscomo
nicaevidncia;(b)dadosclassificadoscomoevidnciaauxiliar;
(c)dadosclassificadoscomodeinformaogeral.
copyleft@TiagoEugeniodeMelo,M.Sc.
199
AuditoriadeSistemasMtodosdeAvaliao
Aavaliaolimitadasegueosseguintespassos:
Levantamentodoconhecimentoprviosobreosistemae/ouos
dados.
Informaesfavorveissobreaconfiabilidadedosistemaoudos
dadospodemreduziroriscodeconfiabilidadeediminuiro
trabalhodeavaliaodoscontrolesdosistemaedetestede
dados.Informaesdesfavorveisleveroaoaumentodorisco,
exigindomaiorcuidadonaavaliaodoscontroles.
Avaliaodoscontrolesdosistemadeprocessamentodos
dados.
Aregrageraldizquequantomenoraconfiabilidadedos
controlesgeraisoudeaplicativo,maioraextensodoteste
necessrioparadeteminaraconfiabilidadedosdados.
copyleft@TiagoEugeniodeMelo,M.Sc.
200
AuditoriadeSistemasMtodosdeAvaliao
Aavaliaolimitadasegueosseguintespassos:
Determinaodoriscodeconfiabilidadedosdadoseda
extensodotestededados.
Oriscodeconfiabilidadedosdadosdefinidocomosendoo
riscodequeosdadosutilizadosnosejamsuficientemente
confiveisparaofimaquesedestinam.
Testededados.
Emborasejaimprovvelquequalquersistemadecomputador
contenhadadoscompletamentelivresdeerro,oconceitode
confiabilidadenoexigedadosperfeitos.Elepressupe,no
entanto,aexecuodeprocedimentosparaavaliaraintegridade
eautenticidadedosdadoseaexatidodoseuprocessamentopor
computador.
copyleft@TiagoEugeniodeMelo,M.Sc.
201
AuditoriadeSistemasMtodosdeAvaliao
Aavaliaolimitadasegueosseguintespassos:
Divulgaodafontedosdadosedaconfiabilidadeatribuda
aosmesmos.
Concludooprocessodeavaliaodaconfiabilidadedosdados,
necessriodocumentarosresultadosobtidos,medianteo
preenchimentodepapisdetrabalhoeainclusodeumparecer
norelatriodeauditoria.
copyleft@TiagoEugeniodeMelo,M.Sc.
202
AuditoriadeSistemasdeInformao
Controlesgerais
Consistemnaestrutura,polticaseprocedimentosquese
aplicamsoperaesdosistemacomputacionaldeuma
organizaocomoumtodo.
Oprimeiropassonumaauditoriaavaliaroscontrolesgerais
queatuamsobreosistemacomputacionaldaorganizao.
Controlesgeraisdeficientesacarretamumadiminuioda
confiabilidadeaseratribudaaoscontrolesdasaplicaes
individuais.
copyleft@TiagoEugeniodeMelo,M.Sc.
203
AuditoriadeSistemasdeInformao
Existemseiscategoriasdecontrolesgeraisutilizadas
numaauditoria:
Controlesorganizacionais.
Programageraldesegurana.
Continuidadedoservio.
Controlesdesoftwaredesistema.
Controlesdeacesso.
Controlesdedesenvolvimentoealteraodesoftwares
aplicativos.
copyleft@TiagoEugeniodeMelo,M.Sc.
204
AuditoriadeSistemasdeInformao
Controlesorganizacionais
Organizaododepartamentodetecnologiadainformao.
Segregaodefunes.
Unidadesorganizacionaisbemdefinidas.
Atividadesdosfuncionrioscontroladasepolticasclarasde
seleo,treinamentoeavaliaodedesempenho.
Polticadesegregaodefunesecontrolesdeacesso.
Recursoscomputacionaisgerenciadosdeformaeficientee
econmica.
copyleft@TiagoEugeniodeMelo,M.Sc.
205
AuditoriadeSistemasdeInformao
Programageraldesegurana
Princpiosdagestodasegurana.
Avaliaodorisco.
Estruturadesegurana.
Avaliaoperidicadorisco.
Documentaodoprogramadesegurana.
Estruturadegernciadeseguranacomatribuioclarade
responsabilidades.
Polticasdeseguranaeficazes.
Supervisodaeficciadoprogramadesegurana.
copyleft@TiagoEugeniodeMelo,M.Sc.
206
AuditoriadeSistemasdeInformao
Continuidadedoservio
Avaliaodavulnerabilidadedasoperaescomputadorizadas
eidentificaodosrecursosqueasapoiam.
Adoodemedidasparaprevinireminimizardanose
interrupespotenciais.
Desenvolvimentoedocumentaodeumplanogeralde
contigncia.
copyleft@TiagoEugeniodeMelo,M.Sc.
207
AuditoriadeSistemasdeInformao
Controlesdeacesso
Classificaodosrecursosdeinformaodeacordocomasua
importnciaevulnerabilidade.
Manutenodelistaatualizadadeusuriosautorizadosenveis
deacesso.
Controleslgicosefsicosparaprevenoedetecode
acessonoautorizado.
Supervisodoacesso,investigaodeevidnciasdeviolaes
deseguranaeadoodemedidascorretivas.
copyleft@TiagoEugeniodeMelo,M.Sc.
208
AuditoriadeSistemasdeInformao
Controlesdesoftware
Acessolimitadoaosoftwaredesistema.
Caminhosdeacesso.
Controledasalteraesdosoftwaredesistema.
copyleft@TiagoEugeniodeMelo,M.Sc.
209
AuditoriadeSistemasdeInformao
Controlesdedesenvolvimentoealteraodesoftwares
aplicativos
Caractersticasdeprocessamentoealteraesnosprogramas
sodevidamenteautorizadas.
Todosossoftwaresnovosoualteradossotestadose
aprovados.
Bibliotecasdecontroledosoftware.
Controlesdeaplicativos
Controlesdeaplicativossoaquelesincorporadosdiretamente
emprogramasaplicativos,nastrsreasdeoperao,como
objetivodegarantirumprocessamentoconfiveleacurado.
copyleft@TiagoEugeniodeMelo,M.Sc.
210
AuditoriadeSistemasdeInformao
Controledaentradadedados
Estescontrolesdevemdetectartransaesnoautorizadas,
incompletas,duplicadasouerrneas,eassegurarquesejam
controlasatseremcorrigidas.
Documentosoutelasdeentradadedados.
Rotinasdepreparaodosdados(batch).
Autorizaoparaentradadedados.
Validaodosdadosdeentrada.
Tratamentodeerros.
copyleft@TiagoEugeniodeMelo,M.Sc.
211
AuditoriadeSistemasdeInformao
ControlesdoProcessamentodeDados
Estescontrolesdevemassegurarquetodososdadosdeentrada
sejamprocessadosequeoaplicativosejaexecutadocom
sucesso,usandoosarquivosdedados,asrotinasdeoperaoe
algicadeprocessamentocorretos.
Integridadedoprocessamento.
Validaodoprocessamento.
Tratamentodeerrosdoprocessamento.
copyleft@TiagoEugeniodeMelo,M.Sc.
212
AuditoriadeSistemasdeInformao
ControlesdaSadadeDados
Revisodosdadosdesada.
Distribuiodosdadosdesada.
Seguranadosdadosdesada.
copyleft@TiagoEugeniodeMelo,M.Sc.
213
AuditoriadeSistemasdeInformao
Desenvolvimentodesistemas
Objetivaavaliaraadequaodasmetodologiaseprocedimentosde
projeto,desenvolvimento,implantaoerevisopsimplantao
dossistemasproduzidosdentrodaorganizaoauditada.
Fases:
Fase1:Planejamento.
Fase2:Elaboraodoplanodedesenvolvimentoeinciodo
projeto.
Fase3:Organizaodoprojeto.
Fase4:Elaboraodoprojetodosistema.
Fase5:Revisoeaprovaopelosdirigentes.
Fase6:Desenvolvimentoeimplantao.
Fase7:Revisodepsimplementao.
copyleft@TiagoEugeniodeMelo,M.Sc.
214
AuditoriadeSistemasdeInformao
Redesdecomputadores
Oprincipalriscooferecidopelasredesodeacessono
autorizadoadadoseprogramasdaorganizao,quepode
resultaremdanosouprejuzosintencionaisouacidentais.
Aauditoriaderedesdecomunicaodeveabrangeros
seguinteselementoscrticos:
Gernciaderede:devemexistirprocedimentosepolticaspara
auxiliaragernciadoambientederedeepadresdefinidospara
controledohardwareedosoftware.
Seguranadosdadosedarede:devemexistirmecanismosde
controledehardwareesoftwarequegarantamaseguranae
integridadedosdadosmantidosnoambientederedeedos
recursosfsicosqueacompem;bemcomolimitemecontrolem
oacessoaprogramasedados.
copyleft@TiagoEugeniodeMelo,M.Sc.
215
AuditoriadeSistemasdeInformao
Operaodarede:aorganizaodeveoferecercondiespara
umaoperaoeficientedarede,incluindonormase
procedimentosdetreinamentodepessoal,execuodecpiasde
segurana,avaliaodaeficinciadoservioerotinasde
recuperaodaredeapsinterrupesinesperadas.
Softwarederede:agernciaderededevemonitorarecontrolar
osoftwaredecomunicaoeosistemaoperacionalinstalado.
copyleft@TiagoEugeniodeMelo,M.Sc.
216
BibliografiadoCurso
Stallings,William.CryptographyandNetworkSecurity:PrinciplesandPractice.
PrenticeHall,1999.569p.
Dias, Cludia Augusto. Segurana e Auditoria da Tecnologia da Informao.
AxccelBooks,2000.
Scheier,Bruce.Segurana.comSegredosementirassobreaproteonavida
digital.EditoraCampus:2001.
AutorAnnimo.SeguranaMximaparaLinux.RiodeJaneiro,Campus:2000.
copyleft@TiagoEugeniodeMelo,M.Sc.
217
BibliografiaComplementar
copyleft@TiagoEugeniodeMelo,M.Sc.
218
Links
http://www.numaboa.com.br/criptologia/
(Sitecombastantematerialsobrecriptografia).
http://www.cacr.math.uwaterloo.ca/hac/
(Excelentelivrosobreoassunto.Totalmentedisponvelpara
download.Idioma:ingls).
http://www.modulo.com.br
(Sitebrasileiroespecializadoemseguranadesistemas).
http://focalinux.cipsga.org.br/
(MaterialsobreadistribuioDebian.Podetambmser
aproveitadoparaoutrasdistribuies.organizadopornveis
deconhecimento.)
copyleft@TiagoEugeniodeMelo,M.Sc.
219