Вы находитесь на странице: 1из 113

Curso preparatório para as certificações

Cybersecurity Foundation,
Ransomware Defense Foundation,
Ethical Hacking Essentials
e CSIRT Foundation
Cybersecurity Foundation
Objetivo do módulo

• Este módulo tem por objetivo abordar os principais conceitos


relacionados a segurança para Internet, tais como riscos, tipos de
ataques na Internet, golpes aplicados na Internet, códigos maliciosos
(malware), principais mecanismos de segurança, senhas
(autenticação), criptografia e cuidados relativos ao uso seguro da
Internet, privacidade e segurança de computadores, segurança de
redes, segurança em dispositivos móveis, prevenção e proteção contra
ataques do tipo ransomware e preparar estudantes e profissionais de
TI para realizar os exames das certificações Cybersecurity Foundation e
Ransonware Defense Foundation.

3
Conteúdo do módulo
• Cybersecurity Foundation
– Golpes na Internet
– Ataques na Internet
– Códigos maliciosos (Malware)
• Ransomware Defense Foundation
– Outros riscos
– Mecanismos de segurança
– Criptografia
– Uso seguro da Internet

4
Golpes na Internet

• Furto de identidade (Identity theft)


– O furto de identidade, ou identity theft, é o ato pelo qual uma pessoa
tenta se passar por outra, atribuindo-se uma falsa identidade, com o
objetivo de obter vantagens indevidas. Alguns casos de furto de
identidade podem ser considerados como crime contra a fé pública,
tipificados como falsa identidade.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 5


Golpes na Internet
• Phishing
– Phishing é o tipo de fraude por meio da qual um golpista tenta obter
dados pessoais e financeiros de um usuário, pela utilização combinada de
meios técnicos e engenharia social.
– O phishing ocorre por meio do envio de mensagens eletrônicas que:
• tentam se passar pela comunicação oficial de uma instituição
conhecida, como um banco, uma empresa ou um site popular;
• procuram atrair a atenção do usuário, seja por curiosidade, por
caridade ou pela possibilidade de obter alguma vantagem financeira;
• informam que a não execução dos procedimentos descritos pode
acarretar sérias consequências, como a inscrição em serviços de
proteção de crédito e o cancelamento de um cadastro, de uma conta
bancária ou de um cartão de crédito;
• tentam induzir o usuário a fornecer dados pessoais e financeiros, por
meio do acesso a páginas falsas, que tentam se passar pela página
oficial da instituição.
Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 6
Golpes na Internet

• Pharming
– Pharming é um tipo específico de phishing que envolve a redireção da
navegação do usuário para sites falsos, por meio de alterações no
serviço de DNS (Domain Name System).
– Neste caso, quando o usuário tenta acessar um site legítimo, o seu
navegador Web é redirecionado, de forma transparente, para uma
página falsa.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 7


Golpes na Internet

• Boato (Hoax)
– Um boato, ou hoax, é uma mensagem que possui conteúdo alarmante
ou falso e que, geralmente, tem como remetente, ou aponta como
autora, alguma instituição, empresa importante ou órgão
governamental.
– Por meio de uma leitura minuciosa de seu conteúdo, normalmente, é
possível identificar informações sem sentido e tentativas de golpes,
como correntes e pirâmides.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 8


Golpes na Internet

• Scam
– Esquemas ou ações enganosas e/ou fraudulentas. Normalmente, têm
como finalidade obter vantagens financeiras.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 9


Golpes na Internet

• Engenharia Social
– Termo utilizado para descrever um método de ataque em que alguém
faz uso da persuasão, muitas vezes abusando da ingenuidade ou
confiança do usuário, para obter informações que podem ser
utilizadas para ter acesso não autorizado a computadores ou
informações.
– É considerada uma prática de má-fé, usada por golpistas para tentar
explorar a ganância, a vaidade e a boa-fé ou abusar da ingenuidade e
da confiança de outras pessoas, a fim de aplicar golpes, ludibriar ou
obter informações sigilosas e importantes.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 10


Ataques na Internet

• Ataques costumam ocorrer na Internet com diversos objetivos, visando


diferentes alvos e usando variadas técnicas.
• Qualquer serviço, computador ou rede que seja acessível via Internet
pode ser alvo de um ataque, assim como qualquer computador com
acesso à Internet pode participar de um ataque.
• Os motivos que levam os atacantes a desferir ataques na Internet são
bastante diversos, variando da simples diversão até a realização de ações
criminosas. Alguns exemplos são:
– Demonstração de poder;
– Motivações financeiras;
– Prestígio;
– Motivações ideológicas;
– Motivações comerciais.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 11


Ataques na Internet

• Exploração de vulnerabilidades
– Uma vulnerabilidade é definida como uma condição que, quando
explorada por um atacante, pode resultar em uma violação de
segurança. Exemplos de vulnerabilidades são falhas no projeto, na
implementação ou na configuração de programas, serviços ou
equipamentos de rede.
– Um ataque de exploração de vulnerabilidades ocorre quando um
atacante, utilizando-se de uma vulnerabilidade, tenta executar ações
maliciosas, como invadir um sistema, acessar informações
confidenciais, disparar ataques contra outros computadores ou tornar
um serviço inacessível.
• Exploit
– Programa ou parte de um programa malicioso projetado para explorar
uma vulnerabilidade existente em um programa de computador.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 12


Ataques na Internet

• Varredura em redes (Scan)


– Varredura em redes, ou scan, é uma técnica que consiste em efetuar
buscas minuciosas em redes, com o objetivo de identificar
computadores ativos e coletar informações sobre eles como, por
exemplo, serviços disponibilizados e programas instalados.
– Com base nas informações coletadas é possível associar possíveis
vulnerabilidades aos serviços disponibilizados e aos programas
instalados nos computadores ativos detectados.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 13


Ataques na Internet

• Scanner
– Programa usado para efetuar varreduras em redes de computadores,
com o intuito de identificar quais computadores estão ativos e quais
serviços estão sendo disponibilizados por eles. Amplamente usado por
atacantes para identificar potenciais alvos, pois permite associar
possíveis vulnerabilidades aos serviços habilitados em um
computador.
• Nmap
– Ferramenta de código fonte aberto largamente utilizada para
realização de varredura em redes e coleta de informações
sobre hosts e serviços ativos, estado das portas e sistemas
operacionais utilizados.
– Possui interface gráfica e por linha de comando.
– Multi plataforma(Linux, UNIX, Windows e Mac OS X).

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 14


Ataques na Internet

• Falsificação de e-mail (E-mail spoofing)


– Falsificação de e-mail, ou e-mail spoofing, é uma técnica que consiste
em alterar campos do cabeçalho de um e-mail, de forma a aparentar
que ele foi enviado de uma determinada origem quando, na verdade,
foi enviado de outra.
– Ataques deste tipo são bastante usados para propagação de códigos
maliciosos, envio de spam e em golpes de phishing.
– Exemplos de e-mails com campos falsificados são aqueles recebidos
como sendo:
• de alguém conhecido, solicitando que você clique em um link ou
execute um arquivo anexo;
• do seu banco, solicitando que você siga um link fornecido na
própria mensagem e informe dados da sua conta bancária;
• do administrador do serviço de e-mail que você utiliza, solicitando
informações pessoais e ameaçando bloquear a sua conta caso
você não as envie.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 15


Ataques na Internet

• Interceptação de tráfego (Sniffing)


– Interceptação de tráfego, ou sniffing, é uma técnica que consiste em
inspecionar os dados trafegados em redes de computadores, por meio
do uso de programas específicos chamados de sniffers.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 16


Ataques na Internet

• Força bruta (Brute force)


– Um ataque de força bruta, ou brute force, consiste em adivinhar, por
tentativa e erro, um nome de usuário e senha e, assim, executar
processos e acessar sites, computadores e serviços em nome e com os
mesmos privilégios deste usuário.
– Apesar dos ataques de força bruta poderem ser realizados
manualmente, na grande maioria dos casos, eles são realizados com o
uso de ferramentas automatizadas facilmente obtidas na Internet e
que permitem tornar o ataque bem mais efetivo.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 17


Ataques na Internet

• Desfiguração de página (Defacement)


– Desfiguração de página, defacement ou pichação, é uma técnica que
consiste em alterar o conteúdo da página Web de um site.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 18


Ataques na Internet

• Negação de serviço (DoS e DDoS)


– Negação de serviço, ou DoS (Denial of Service), é uma técnica pela
qual um atacante utiliza um computador para tirar de operação um
serviço, um computador ou uma rede conectada à Internet.
– Quando utilizada de forma coordenada e distribuída, ou seja,
quando um conjunto de computadores é utilizado no ataque, recebe o
nome de negação de serviço distribuído, ou DDoS (Distributed Denial
of Service).
– O objetivo destes ataques não é invadir e nem coletar informações,
mas sim exaurir recursos e causar indisponibilidades ao alvo. Quando
isto ocorre, todas as pessoas que dependem dos recursos afetados são
prejudicadas, pois ficam impossibilitadas de acessar ou realizar as
operações desejadas.

19
Códigos maliciosos (Malware)

• Códigos maliciosos (malware)


– São programas especificamente desenvolvidos para executar ações
danosas e atividades maliciosas em um computador.
– Uma vez instalados, os códigos maliciosos passam a ter acesso aos
dados armazenados no computador e podem executar ações em
nome dos usuários, de acordo com as permissões de cada usuário.
– Os principais motivos que levam um atacante a desenvolver e a
propagar códigos maliciosos são a obtenção de vantagens financeiras,
a coleta de informações confidenciais, o desejo de autopromoção e o
vandalismo.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 20


Códigos maliciosos (Malware)

• Vírus
– Vírus é um programa ou parte de um programa de computador,
normalmente malicioso, que se propaga inserindo cópias de si mesmo
e se tornando parte de outros programas e arquivos.
– Para que possa se tornar ativo e dar continuidade ao processo de
infecção, o vírus depende da execução do programa ou arquivo
hospedeiro, ou seja, para que o seu computador seja infectado é
preciso que um programa já infectado seja executado.
– Alguns dos tipos de vírus mais comuns são:
• Vírus propagado por e-mail;
• Vírus de script;
• Vírus de macro;
• Vírus de telefone celular.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 21


Códigos maliciosos (Malware)

• Worm
– Worm é um programa capaz de se propagar automaticamente pelas
redes, enviando cópias de si mesmo de computador para computador.
– Diferente do vírus, o worm não se propaga por meio da inclusão de
cópias de si mesmo em outros programas ou arquivos, mas sim pela
execução direta de suas cópias ou pela exploração automática de
vulnerabilidades existentes em programas instalados em
computadores.
– Worms são notadamente responsáveis por consumir muitos recursos,
devido à grande quantidade de cópias de si mesmo que costumam
propagar e, como consequência, podem afetar o desempenho de
redes e a utilização de computadores.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 22


Códigos maliciosos (Malware)

• Bot
– Bot é um programa que dispõe de mecanismos de comunicação com o
invasor que permitem que ele seja controlado remotamente.
– Possui processo de infecção e propagação similar ao do worm, ou seja,
é capaz de se propagar automaticamente, explorando vulnerabilidades
existentes em programas instalados em computadores.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 23


Códigos maliciosos (Malware)

• Botnet
– Botnet é uma rede formada por centenas ou milhares de
computadores zumbis e que permite potencializar as ações danosas
executadas pelos bots.
– Quanto mais zumbis participarem da botnet mais potente ela será. O
atacante que a controlar, além de usá-la para seus próprios ataques,
também pode alugá-la para outras pessoas ou grupos que desejem
que uma ação maliciosa específica seja executada.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 24


Códigos maliciosos (Malware)

• Spyware
– Spyware é um programa projetado para monitorar as atividades de um
sistema e enviar as informações coletadas para terceiros.
– Pode ser usado tanto de forma legítima quanto maliciosa,
dependendo de como é instalado, das ações realizadas, do tipo de
informação monitorada e do uso que é feito por quem recebe as
informações coletadas.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 25


Códigos maliciosos (Malware)
• Alguns tipos específicos de programas spyware são:
– Keyloggers
– Tipo de programa especializado em capturar e armazenar informações digitadas no
teclado.
– Tipos de Keyloggers
• Keyloggers locais
– São os tipos mais comuns de capturadores de teclas;
– Rodam localmente e armazenam as informações capturadas no disco;
– Programa ou dispositivo físico (USB ou PS/2).
• Keyloggers remotos
– Permite enviar as informações capturadas por e-mail.
– Screenloggers
• Similar ao keylogger, capaz de armazenar a posição do cursor e a tela apresentada
no monitor, nos momentos em que o mouse é clicado, ou a região que circunda a
posição onde o mouse é clicado. São bastante utilizados por atacantes para
capturar as teclas digitadas pelos usuários em teclados virtuais, disponíveis
principalmente em sites de Internet Banking.
Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 26
Códigos maliciosos (Malware)

• Backdoor
– Backdoor é um programa que permite o retorno de um invasor a um
computador comprometido, por meio da inclusão de serviços criados
ou modificados para este fim.
– Pode ser incluído pela ação de outros códigos maliciosos, que tenham
previamente infectado o computador, ou por atacantes, que exploram
vulnerabilidades existentes nos programas instalados no computador
para invadi-lo.
– Após incluído, o backdoor é usado para assegurar o acesso futuro ao
computador comprometido, permitindo que ele seja acessado
remotamente, sem que haja necessidade de recorrer novamente aos
métodos utilizados na realização da invasão ou infecção e, na maioria
dos casos, sem que seja notado.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 27


Códigos maliciosos (Malware)

• Cavalo de troia (Trojan)


– Cavalo de troia ou trojan, é um programa que, além de executar as
funções para as quais foi aparentemente projetado, também executa
outras funções, normalmente maliciosas, e sem o conhecimento do
usuário.
– Exemplos de trojans são programas que você recebe ou obtém
de sites na Internet e que parecem ser apenas cartões virtuais
animados, álbuns de fotos, jogos e protetores de tela, entre outros.
Estes programas, geralmente, consistem de um único arquivo e
necessitam ser explicitamente executados para que sejam instalados
no computador.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 28


Códigos maliciosos (Malware)

• Rootkit
– Rootkit é um conjunto de programas e técnicas que permite esconder
e assegurar a presença de um invasor ou de outro código malicioso em
um computador comprometido.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 29


Códigos maliciosos (Malware)
• Ransomware
– Programa que torna inacessíveis os dados armazenados em um
equipamento, geralmente usando criptografia, e que exige pagamento
de resgate (ransom) para restabelecer o acesso ao usuário.
– É um tipo de código malicioso
• assim como vírus, trojan, backdoor, worm, bot e spyware.
– Pode infectar:
• computadores (desktop, notebook, servidores, etc.);
• equipamentos de rede (modems, switches, roteadores, etc.);
• dispositivos móveis (tablets, celulares, smartphones, etc.).

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 30


Códigos maliciosos (Malware)
• Ransomware (cont.)
– Ações mais comuns:
• impede o acesso ao equipamento (Locker ransomware);
• impede o acesso aos dados armazenados no equipamento,
geralmente usando criptografia (Crypto ransomware).
– Extorsão é o principal objetivo dos atacantes:
• pagamento feito geralmente via bitcoins;
• não há garantias de que o acesso será restabelecido;
– mesmo que o resgate seja pago.
• normalmente usa criptografia forte
– Costuma buscar outros dispositivos conectados, locais ou em rede, e
criptografá-los também.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 31


Códigos maliciosos (Malware)
• Ransomware (cont.)
– Infecção pode ocorrer pela execução de arquivo infectado:
• recebido:
– via links em e-mails, redes sociais e mensagens instantâneas;
– anexado a e-mails.
• baixado de sites na Internet.
• acessado:
– via arquivos compartilhados;
– via páginas Web maliciosas, usando navegadores vulneráveis.
– Não se propaga sozinho.
– Nem sempre é possível reverter as ações danosas já feitas ou
recuperar totalmente os dados.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 32


Códigos maliciosos (Malware)
• Ransomware (cont.)
– Sobre o WannaCry
• Ciberataque que atingiu e tirou do ar os sistemas de milhares de empresas e
serviços públicos em mais de 100 países, incluindo o Brasil, no dia 12 de
Maio de 2017.
• Foram registrados mais de 45 mil ataques.
• Os primeiros relatos envolviam computadores do Sistema de Saúde Pública
britânico (NHS).
• A Rússia foi o país mais atingido pelos ataques.
• O Brasil foi um dos 5 países mais afetados pelo mega ataque do ransomware.
• No Brasil, o ciberataque fez com que várias empresas e orgãos públicos
tirassem sites do ar e desligassem seus computadores, como Tribunal de
Justiça de São Paulo, Ministério Público de São Paulo, INSS, IBGE, Itamaraty,
Petrobras, entre outros.
• A maior parte dos ataques se deu por meio de e-mails com arquivos
infectados.
• O WannaCryptor, vírus utilizado no ataque, afetou apenas computadores
com Windows.
• O vírus explorou uma brecha de segurança do Windows. A Microsoft havia
liberado uma atualização para corrigir a vulnerabilidade em Março de 2017.
Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 33
Códigos maliciosos (Malware)
• Ransomware (cont.)
– Sobre o WannaCry (cont.)
• Segundo especialistas, o vírus utilizou códigos (exploits) desenvolvidos e
roubados da Agência de Segurança Nacional dos Estados Unidos (NSA), entre
eles, o EternalBlue.
• O EternalBlue permitia ao vírus se espalhar automaticamente de um
computador para outro, caso a vítima utilizasse o Windows 7 ou Windows
Server 2008 e não tivesse aplicado a atualização do Windows liberada pela
Microsoft em Março de 2017.
• O vírus criptografa arquivos de mais de 178 tipos de extensões diferentes.
Arquivos criptografados ganham a extensão .wcry
• Utilizou um worm para se espalhar pelas redes.
• Os computadores afetados pelo ransomware mostravam uma tela com o
pedido de resgate pelos arquivos sequestrados.
• Pagamento de resgaste via Bitcoin (moeda usada em transações virtuais) no
valor equivalente a US$ 300. O pagamento em bicoin dificulta o
rastreamento realizado por autoridades.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 34


Códigos maliciosos (Malware)
• Ransomware (cont.)
- Sobre o WannaCry (cont.)

35
Códigos maliciosos (Malware)
• Ransomware (cont.)
– NotPetya (também chamado de ExPetr ou Petya)
• Surgiu em Junho de 2017 e afetou milhares de computadores e atingiu
redes corporativas de empresas ligadas aos setores de energia,
telecomunicações e finanças na Ucrânia, Rússia e outros países,
incluindo o Brasil.
• Explorava a falha EternalBlue do SMBv1 do Windows e se espalhava
na rede como um worm (ransomworm).
• Restringia o acesso ao sistema infectado e cobrava um resgate para
que o acesso pudesse ser restabelecido.
• Inicialmente, o malware foi considerado um ransomware, mas depois
descobriu-se que, na verdade, se tratava um de wiper malware
(wiperware). Apesar de exibir uma mensagem solicitando o
pagamento de um resgate, em vez de de criptografar os arquivos do
computador e liberar o acesso mediante o pagamento do resgate, o
malware simplesmente destruia os arquivos (Master Boot Record -
MBR), sem possibilidade de recuperação dos dados.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 36


Códigos maliciosos (Malware)
• Ransomware (cont.)
– Not-Petya (também chamado de ExPetr ou Petya)

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 37


Códigos maliciosos (Malware)
• Ransomware (cont.)]
– Bad Rabbit
• Surgiu em Outubro de 2017.
• O ataque começou na Rússia e Ucrânia e rapidamente se espalhou
para outros países, incluindo o Brasil.
• O ransomware infectou computadores por meio de um ataque do
tipo drive-by download attack.
• As vítimas baixavam um falso instalador Adobe Flash Palyer de
sites comprometidos e executavam o arquivo de instalação,
infectando os seus PCs.
• O Ransomware encriptava os arquivos do HD e emitia um alerta
solitando resgate na forma de bitcoins (0,05), equivalentes a cerca
de US$ 280 na cotação da época.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 38


Códigos maliciosos (Malware)
• Ransomware (cont.)]
– Bad Rabbit

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 39


Códigos maliciosos (Malware)
• Ransomware (cont.)
– Como se prevenir contra ataques do tipo Ransomware
• Fazer backup regularmente:
– Backup é a solução mais efetiva contra ransomware;
– Manter os backups atualizados e desconectados do sistema;
– Fazer cópias redundantes.
• Manter os programas instalados sempre atualizados:
– Remover programas não utilizados;
– Configurar a atualização automática dos programas;
– Utilizar apenas softwares originais.
• Manter um antivírus (antimalware) instalado e sempre atualizado:
– Configurar o antivirus para verificar automaticamente:
» toda e qualquer extensão de arquivo;
» arquivos anexados aos e-mails e obtidos pela Internet;
» discos rígidos e unidades removíveis.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 40


Códigos maliciosos (Malware)

• Ransomware (cont.)
– Como se prevenir contra ataques do tipo Ransomware (cont.)
• Assegurar-se de ter um firewall pessoal instalado e ativo.
• Utilizar antispam para filtrar as mensagens indesejadas.
• Desabilitar a auto-execução de mídias removíveis e arquivos
anexados.
• Utilizar a conta de administrador do sistema apenas quando
necessário.
• Ser cuidadoso ao clicar em links curtos.
• Ao instalar aplicativos de terceiros, selecionar aqueles bem
avaliados e com grande quantidade de usuários.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 41


Outros riscos
• Spam
– Spam é o termo usado para se referir aos e-mails não solicitados, que
geralmente são enviados para um grande número de pessoas.

• Cookies
– Cookies são pequenos arquivos que são gravados em seu computador
quando você acessa sites na Internet e que são reenviados a estes
mesmos sites quando novamente visitados. São usados para manter
informações sobre você, como carrinho de compras, lista de produtos
e preferências de navegação.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 42


Mecanismos de segurança

• Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP)


– Também chamada de "Termo de Uso" ou "Termo de Serviço", define
as regras de uso dos recursos computacionais, os direitos e as
responsabilidades de quem os utiliza e as situações que são
consideradas abusivas.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 43


Mecanismos de segurança

• NTP (Network Time Protocol)


– Tipo de protocolo que permite a sincronização dos relógios dos
dispositivos de uma rede, como servidores, estações de trabalho,
roteadores e outros equipamentos, à partir de referências de tempo
confiáveis

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 44


Mecanismos de segurança

• Firewall
– Dispositivo de segurança usado para dividir e controlar o acesso entre
redes de computadores.

• Firewall pessoal
– Firewall pessoal é um tipo específico de firewall que é utilizado para
proteger um computador contra acessos não autorizados vindos da
Internet.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 45


Criptografia

• A criptografia, considerada como a ciência e a arte de escrever mensagens


em forma cifrada ou em código.
• É um dos principais mecanismos de segurança que você pode usar para se
proteger dos riscos associados ao uso da Internet.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 46


Criptografia
• Termos empregados em criptografia:
TERMO SIGNIFICADO
Texto claro Informação legível (original) que será protegida, ou seja, que será
codificada
Texto codificado (cifrado) Texto ilegível, gerado pela codificação de um texto claro

Codificar (cifrar) Ato de transformar um texto claro em um texto codificado

Decodificar (decifrar) Ato de transformar um texto codificado em um texto claro

Método criptográfico Conjunto de programas responsável por codificar e decodificar


informações
Chave Similar a uma senha, é utilizada como elemento secreto pelos métodos
criptográficos. Seu tamanho é geralmente medido em quantidade de bits
Canal de comunicação Meio utilizado para a troca de informações

Remetente Pessoa ou serviço que envia a informação

Destinatário Pessoa ou serviço que recebe a informação


Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 47
Criptografia

• De acordo com o tipo de chave usada, os métodos criptográficos podem


ser subdivididos em duas grandes categorias: criptografia de chave
simétrica e criptografia de chaves assimétricas.
– Criptografia de chave simétrica: também chamada de criptografia de
chave secreta ou única, utiliza uma mesma chave tanto para codificar
como para decodificar informações, sendo usada principalmente para
garantir a confidencialidade dos dados.
– Criptografia de chaves assimétricas: também conhecida como
criptografia de chave pública, utiliza duas chaves distintas: uma
pública, que pode ser livremente divulgada, e uma privada, que deve
ser mantida em segredo por seu dono.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 48


Criptografia

• Função de resumo (Hash)


– Uma função de resumo é um método criptográfico que, quando
aplicado sobre uma informação, independente do tamanho que ela
tenha, gera um resultado único e de tamanho fixo, chamado hash.
– A função de resumo (Hash) pode ser utilizada para:
• verificar a integridade de um arquivo armazenado em seu
computador ou em seus backups;
• verificar a integridade de um arquivo obtido da Internet
(alguns sites, além do arquivo em si, também disponibilizam
o hash correspondente, para que você possa verificar se o arquivo
foi corretamente transmitido e gravado);
• gerar assinaturas digitais.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 49


Criptografia

• Assinatura digital
– A assinatura digital permite comprovar a autenticidade e a integridade
de uma informação, ou seja, que ela foi realmente gerada por quem
diz ter feito isto e que ela não foi alterada.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 50


Criptografia

• Certificado digital
– O certificado digital é um registro eletrônico composto por um
conjunto de dados que distingue uma entidade e associa a ela uma
chave pública. Ele pode ser emitido para pessoas, empresas,
equipamentos ou serviços na rede (por exemplo, um site Web) e pode
ser homologado para diferentes usos, como confidencialidade e
assinatura digital.
– Um certificado digital pode ser comparado a um documento de
identidade, por exemplo, o seu passaporte, no qual constam os seus
dados pessoais e a identificação de quem o emitiu. No caso do
passaporte, a entidade responsável pela emissão e pela veracidade
dos dados é a Polícia Federal. No caso do certificado digital esta
entidade é uma Autoridade Certificadora (AC).

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 51


Criptografia

• SSH
– Do inglês Secure Shell. Protocolo que utiliza criptografia para acesso a
um computador remoto, permitindo a execução de comandos,
transferência de arquivos, entre outros.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 52


Uso seguro da Internet

• Segurança em conexões Web


– Protocolo HTTP
• O protocolo HTTP, além de não oferecer criptografia, também não
garante que os dados não possam ser interceptados, coletados,
modificados ou retransmitidos e nem que você esteja se
comunicando exatamente com o site desejado.
• Por estas características, ele não é indicado para transmissões que
envolvem informações sigilosas, como senhas, números de cartão
de crédito e dados bancários, e deve ser substituído pelo HTTPS,
que oferece conexões seguras.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 53


Uso seguro da Internet

• Segurança em conexões Web (cont.)


– Protocolo HTTPS
• O protocolo HTTPS utiliza certificados digitais para assegurar a
identidade, tanto do site de destino como a sua própria, caso você
possua um.
• Também utiliza métodos criptográficos e outros protocolos, como
o SSL (Secure Sockets Layer) e o TLS (Transport Layer Security),
para assegurar a confidencialidade e a integridade das
informações.
• Sempre que um acesso envolver a transmissão de informações
sigilosas, é importante certificar-se do uso de conexões seguras.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 54


Uso seguro da Internet
• Tipos de conexão
– Conexão padrão: é a usada na maioria dos acessos realizados. Não
provê requisitos de segurança.
– Alguns indicadores deste tipo de conexão são:
• o endereço do site começa com "http://";
• em alguns navegadores, o tipo de protocolo usado (HTTP), por ser
o padrão das conexões, pode ser omitido na barra de endereços;
• um símbolo do site (logotipo) é apresentado próximo à barra de
endereço e, ao passar o mouse sobre ele, não é possível obter
detalhes sobre a identidade do site.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 55


Uso seguro da Internet
• Conexão segura: é a que deve ser utilizada quando dados sensíveis são
transmitidos, geralmente usada para acesso a sites de Internet Banking e de
comércio eletrônico. Provê autenticação, integridade e confidencialidade, como
requisitos de segurança.
– Alguns indicadores deste tipo de conexão são:
• o endereço do site começa com "https://";
• o desenho de um "cadeado fechado" é mostrado na barra de endereço e,
ao clicar sobre ele, detalhes sobre a conexão e sobre o certificado digital
em uso são exibidos;
• um recorte colorido (branco ou azul) com o nome do domínio do site é
mostrado ao lado da barra de endereço (à esquerda ou à direita) e, ao
passar o mouse ou clicar sobre ele, são exibidos detalhes sobre conexão e
certificado digital em uso.

56
Uso seguro da Internet

• Proxy
– Servidor que atua como intermediário entre um cliente e outro
servidor. Normalmente é utilizado em empresas para aumentar o
desempenho de acesso a determinados serviços ou permitir que mais
de uma máquina se conecte à Internet.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 57


Uso seguro da Internet

• VPN
– Do inglês Virtual Private Network. Termo usado para se referir à
construção de uma rede privada utilizando redes públicas (por
exemplo, a Internet) como infraestrutura.
– Esses sistemas utilizam criptografia e outros mecanismos de segurança
para garantir que somente usuários autorizados possam ter acesso à
rede privada e que nenhum dado será interceptado enquanto estiver
passando pela rede pública.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/ 58


Simulados

1) Identifique nas alternativas abaixo o ato pelo qual uma pessoa tenta se
passar por outra, atribuindo-se uma falsa identidade, com o objetivo de obter
vantagens indevidas.

a) Phishing
b) Furto de identidade (Identity theft)
c) Pharming
d) Fraude de antecipação de recursos (Advance fee fraud)

59
Simulados

2) Identifique nas alternativas abaixo o tipo de código malicioso bastante


utilizado por atacantes para capturar as teclas digitadas pelos usuários em
teclados virtuais, disponíveis principalmente em sites de Internet Banking.

a) Fieldlogger
b) Rubylogger
c) Screenlogger
d) Keylogger

60
Simulados

3) Qual é a técnica pela qual um atacante utiliza um computador para tirar de


operação um serviço, um computador ou uma rede conectada à Internet.

a) DoS
b) DDoS
c) IDS
d) SSH

61
Simulados

4) Qual é principal objetivo dos atacantes com a realização de ataques do tipo


ransomware?

a) Autopromoção
b) Coleta de informações confidenciais
c) Vandalismo
d) Extorsão

62
Simulados

5) O que são cookies?

a) São pequenos arquivos usados para manter informações sobre o usuário,


como carrinho de compras, lista de produtos e preferências de navegação.
b) Dispositivo de segurança usado para dividir e controlar o acesso entre
redes de computadores.
c) Tipo de link gerado por meio de serviços que transformam
um link convencional em outro de tamanho reduzido.
d) Registro de atividades gerado por programas e serviços de um
computador.

63
Ethical Hacking Essentials
Objetivo do módulo

• Este módulo tem por objetivo fornecer os principais conceitos


relacionados a Ethical Hacking, entre eles, Penetration Testing (Black
Box and White Box), Sniffing, FootPrinting, Cross-Site Scripting,
Spoofing, Scanning Networks, Enumeration, Exploits, Social
Engineering, Password cracking, SQL Injection, Denial of Service (DoS e
DDoS), Hacking Wireless Networks, Session Hijacking, IDS, Firewall,
Honeypot e preparar estudantes e profissionais de TI para realizar o
exame da certificação Ethical Hacking Essentials.

65
Conteúdo do módulo
• Ethical Hacking Essentials
– Introdução a Ethical Hacking
– Penetration Testing
– Análise de vulnerabilidades
– Ataques
– Spoofing
– Senhas
– Mecanismos de Segurança
– Ferramentas

66
Introdução a Ethical Hacking

• Ethical Hacker (White Hat Hacker)


– Tipo de hacker que tem por objetivo realizar testes de intrusão a fim
de ajudar as organizações a identificar vulnerabilidades às quais seus
ativos de informação estejam expostos para que sejam tomadas as
medidas apropriadas para lidar com os riscos associados.
• Black Hat Hacker
– Tipo de hacker que utiliza seus conhecimentos para roubar senhas,
documentos, causar danos ou mesmo realizar espionagem industrial.
• Script kiddie
– Termo utilizado para identificar individuos que possuem poucos
conhecimentos técnicos e que geralmente não tem alvos definidos e
utilizam exploits e scripts prontos ("receitas de bolo") para invadir
sistemas.

67
Introdução a Ethical Hacking

• Crackers
– São os responsáveis pela criação dos cracks, ferramentas que quebram
a ativação de um software comercial, permitindo que qualquer pessoa
tenha uma versão pirata do software em seu computador.
– São responsáveis pelo prejuízo das empresas de software, e também
por desenvolver vírus e outras pragas como spywares e trojans.

• Defacer
– Pessoa responsável pela desfiguração de uma página.

68
Penetration Testing
• Penetration Testing
– Teste realizado por um hacker ético, cujo objetivo é tentar invadir um
sistema, rede ou ambiente no qual se deseja detectar falhas a fim de
gerar um relatório indicando os problemas encontrados e as
recomendações para corrigi-los.
• Tipos de Penetration Testing
– Black box
• Tipo de Penetration Testing no qual o auditor não possui qualquer
conhecimento prévio sobre a estrutura, rede ou sistema alvo.
• Tipos de Penetration Testing
– Gray box
• Tipo de Penetration Testing no qual o auditor possui conhecimento
parcial da estrutura e da rede da empresa.
• Tipos de Penetration Testing
– White box
• Tipo de Penetration Testing no qual o auditor possui todo
conhecimento necessário sobre a estrutura, rede ou sistema alvo.
69
Penetration Testing

• Fases da realização de um Penetration Testing


– Planejamento
– Execução
– Pós-teste

70
Penetration Testing

• Planejamento
– Coleta de informações necessárias para realização do Penetration
Testing.
– Os funcionários e clientes da empresa serão notificados a respeito da
realização do teste?
– Quais são os resultados esperados?
– O teste será realizado durante o expediente?
– Quais sistemas serão testados?
– Definição do escopo e do objetivo do teste.
– Levantamento de informações (dispositivos de hardware, topologia da
rede, sistemas operacionais, etc...).
– Obtenção de permissão para realização do teste.

71
Penetration Testing

• Execução
– Etapa de realização do Penetration Testing propriamente dito.
– Identificação de vulnerabilidades e falhas de segurança.
• Pós-teste
– Elaboração de relatório
– Vulnerabilidades e falhas de segurança encontradas
– Análise de risco
– Matriz GUT
– Recomendações

72
Penetration Testing

• Etapas técnicas
– (1) Footprinting
• Refere-se a busca detalhada de informações iniciais sobre um
determinado alvo.
• É o primeiro passo para uma intrusão bem-sucedida.
• Inclui recursos de mapeamento de redes e consulta a banco de
dados whois.
– Tem por objetivo descobrir:
• Faixa de endereços IP;
• Informações relacionadas à rede;
• Nomes e informações sobre funcionários;
• Documentos com informações úteis.
– Pode ser realizada de forma manual, automatizada ou por meio de
consulta a sites de busca (Google e archive.org).
– O site archive.org mantém um projeto chamado WayBack Machine
que mantém versões antigas de mais de 478 bilhões de páginas.
73
Penetration Testing

• Etapas técnicas (cont.)


– (2) Varredura
• É etapa de um Penetration Testing que tem objetivo identificar
hosts ativos e portas abertas na rede alvo.
• Consiste em efetuar buscas minuciosas em redes, com o objetivo
de identificar computadores ativos e coletar informações sobre
eles como, por exemplo, serviços disponibilizados e programas
instalados.
• Pode se realizada manualmente ou por meio de ferramentas
específicas chamadas de Scanners.

74
Penetration Testing

• Etapas técnicas (cont.)


– (3) Enumeração
• Etapa de um Penetration Testing que tem objetivo identificar os
serviços que estão rodando em determinadas portas.
• Identificação do sistema operacional do alvo (Fingerprinting).
• Compilação de dados sobre recursos disponíveis,
compartilhamentos e usuários.

75
Penetration Testing

• Etapas técnicas (cont.)


– (4) Procura por falhas e problemas
• Identificação de vulnerabilidades e falhas de segurança.
• Utilização de scanners.

76
Penetration Testing
• Etapas técnicas (cont.)
– (5) Utilização de métodos para burlar proteção
– Enganar o usuário
• Engenharia social
• Malwares
– Explorar falhas
• SQL Injection
• Cross Site Scripting
• Exploits
– Explorar má configuração
• Senhas fracas (Força Bruta)
• Sniffing
– Negação de serviço
• DoS e DDoS

77
Penetration Testing
Footprinting

Varredura

Enumeração

Procura por
Falhas e
Problemas

Métodos para
Burlar a
Proteção

Explorar má Negação de
Enganar usuário Explorar falhas
Configuração Serviço

SQL Injection Senhas fracas DoS e DDoS


Engenharia Social
(Força Bruta)

Malware CSS Sniffing

Exploits 78
Análise de Vulnerabilidades

• Análise de vulnerabilidades
– Análise de vulnerabilidades consiste na verificação da existência de
falhas de segurança no ambiente analisado.
– O objetivo da análise de vulnerabilidades é verificar se o ambiente
atual fornece condições de segurança compatíveis com a importância
estratégica dos serviços que fornece ou desempenha.

79
Ataques

• Cross Site Scripting (CSS ou XSS)


– Tipo de ataque que tem por objetivo roubar cookies do usuário
geralmente utilizando um código em JavaScript.
• SQL Injection
– Tipo de ataque que consiste na injeção de comandos SQL dentro de uma
consulta (query) por meio da manipulação das entradas de dados de uma
aplicação.
• Session Hijacking
– É o sequestro de uma sessão. Ocorre quando um usuário malicioso
intercepta cookies com dados do início da sessão da vítima em algum
serviço online. Assim, o cracker consegue acessar a página do serviço
como se fosse a vítima e realizar roubos de informações e modificações.
• Buffer Overflow
– Tipo de ataque que ocorre quando um programa recebe uma quantidade
de dados superior à capacidade de armazenamento do buffer
ocasionando comportamentos inesperados, ou mesmo o travamento do
programa.

80
Spoofing

• Spoofing
– É a arte de criar endereços falsos e utilizá-los para diversos propósitos.
– Tipo de ataque no qual uma entidade impostora se faz passar por uma
entidade verdadeira.
– Existem diversos tipos de ataques tipo spoofing:
• MAC Spoofing: personificação de um endereço MAC ou
envenenamento de tabela do switch.
• ARP Spoofing: envenenamento da tabela ARP.
• IP Spoofing: personificação de um endereço IP.
• DNS Spoofing: falsificação de traduções DNS.

81
Spoofing
• MAC Spoofing
– Técnica de ataque baseando-se no envenenamento de tabela do
switch, permitindo ao atacante receber pacotes direcionados a outra
máquina.
– Funcionamento:
• Enviar ao switch um pacote ethernet falso com o endereço MAC
da máquina vítima.
• ARP Spoofing
– Técnica de ataque de envenenamento da tabela ARP de uma máquina,
permitindo ao atacante receber pacotes direcionados a outra
máquina.
• IP Spoofing
– Técnica de invasão onde o atacante finge ser outra máquina
falsificando o seu endereço IP.
– Ataque simples de ser realizado principalmente se o impostor estiver
na mesma rede IP da máquina verdadeira.
– Diversos tipos de ataques usam o IP Spoofing, que é potencialmente
perigoso em sistemas que baseiam sua segurança em endereços IP.
82
Spoofing
• DNS Spoofing
– Tipo de ataque no qual uma entidade impostora se faz passar por uma
entidade verdadeira, enviando respostas falsas à requisições DNS
legítimas.
– Programa para DNS Spoofing
• Necessita obter/concentrar os pacotes da rede, ou simplesmente
realizar o “sniffing”.
• Quando observa uma requisição válida de DNS envia
imediatamente uma resposta contendo uma tradução falsa.
– (1) Cliente realiza requisição DNS;
– (2) Atacante envia uma resposta DNS falsa;
– (3) O servidor DNS envia a resposta. Porém ela será descartada pelo
cliente;
– (4) O cliente contata o servidor falso.

83
Senhas
• Métodos para descobrir senhas
– Password guessing
• Tentativa de adivinhação de senhas.
– Engenharia social
• Uso da persuasão.
– Sniffers
• Dispositivo ou programa de computador utilizado para capturar e
armazenar dados trafegando em uma rede de computadores.
– Keyloggers
• Programas capazes de capturar e armazenar as teclas digitadas
pelo usuário no teclado do computador.
– Força Bruta
• Tipo de ataque que consiste em adivinhar, por tentativa e erro, um
nome de usuário e senha.
84
Senhas
• Métodos para descobrir senhas (cont.)
– Man-in-the-middle
• Interceptação de dados.
– Ataque de dicionários
• O ataque de dicionários consiste em criar uma lista de palavras
(wordlist) ou senhas muito utilizadas e valer-se dessas
informações.
– Rainbow Tables
• Uma tabela de consulta que relaciona strings com seus respectivos
hashes.

85
Senhas
• Senhas mais utilizadas em 2017

1. 123456 11. admin 21. hello


2. password 12. welcome 22. freedom
3. 12345678 13. monkey 23. whatever
4. qwerty 14. login 24. qazwsx
5. 12345 15. abc123 25. trustno1
6. 123456789 16. starwars
7. letmein 17. 123123
8. 1234567 18. dragon
9. football 19. passw0rd
10. iloveyou 20. master

Fonte: SplashData

86
Mecanismos de Segurança

• IDS
– Sistema que monitora e analisa eventos de uma rede a procura de
indícios de comportamento anômalo com o intuito de fornecer alertas
em tempo real sobre acessos não autorizados aos recurso da rede.
• Honeypots
– Sistema criado com objetivo de enganar um atacante e fazê-lo pensar
que conseguiu invadir o sistema, quando, na realidade, ele está em um
ambiente simulado, tendo todos os seus passos registrados.
• Ferramentas antimalware
– Ferramentas antimalware são aquelas que procuram detectar e,
então, anular ou remover os códigos maliciosos de um computador.
– Antivírus, antispyware, antirootkit e antitrojan são exemplos de
ferramentas deste tipo.

87
Ferramentas
• Network Mapper
– Nmap
• https://nmap.org/

• Network protocol analyzer


– Wireshark
• https://www.wireshark.org/

• Packet generator and analyzer


– hping
• http://www.hping.org/

• Kali Linux
– Distribuição Linux voltado para realização de Penetration Testing.
• Scanners
– GFI LanGuard
• http://www.gfi.com/products-and-solutions/network-security-
solutions/gfi-languard
– Nessus
• http://www.tenable.com/products/nessus-vulnerability-scanner 88
Ferramentas

• Keyloggers
– Ardamax Keylogger
• http://www.ardamax.com/keylogger/
– Perfect Keylogger
• http://www.blazingtools.com/bpk.html
• IDS
– Snort
• https://www.snort.org/

89
Simulados

1) Como é chamado o teste realizado por um hacker ético, cujo objetivo é


tentar invadir um sistema, rede ou ambiente no qual se deseja detectar falhas
a fim de gerar um relatório indicando os problemas encontrados e as
recomendações para corrigi-los.

a) Stress testing
b) Usability testing
c) Software testing
d) Penetration testing

90
Simulados

2) Identifique o tipo de Penetration Testing no qual o auditor não possui


qualquer conhecimento prévio sobre a estrutura, rede ou sistema alvo.

a) White Box
b) Black Box
c) Gray Box
d) Blue Box

91
Simulados

3) Identifique nas alternativas abaixo o termo que se refere a busca detalhada


de informações iniciais sobre um determinado alvo.

a) Spoofing
b) Footprinting
c) Session Hijacking
d) Phishing

92
Simulados

4) Qual é o nome atribuído ao ataque que consiste na injeção de comandos


SQL dentro de uma consulta (query) por meio da manipulação das entradas
de dados de uma aplicação.

a) PHP Injection
b) SQL Injection
c) Buffer overflow
d) Phishing

93
Simulados

5) Indique nas alternativas abaixo a técnica que consiste em alterar campos


do cabeçalho de um e-mail, de forma a aparentar que ele foi enviado de uma
determinada origem quando, na verdade, foi enviado de outra.

a) Sniffing
b) Scam
c) Identity theft
d) E-mail spoofing

94
CSIRT Foundation
Objetivo do módulo

• Este módulo tem por objetivo abordar os principais conceitos


relacionados à criação e implantação de CSIRTs e preparar estudantes
e profissionais de TI para realizar o exame da certificação CSIRT
Foundation.

96
Conteúdo do módulo

• CSIRT Foundation
– Criação e implantação de CSIRT

97
O que é um CSIRT?
• Um "Computer Security Incident Response Team (CSIRT)", ou Grupo de
Resposta a Incidentes de Segurança, é uma organização uma organização
responsável por receber, analisar e responder a notificações e atividades
relacionadas a incidentes de segurança em computadores.

• Um CSIRT normalmente presta serviços para uma comunidade bem


definida, que pode ser a entidade que o mantém, como uma empresa, um
órgão governamental ou uma organização acadêmica.

• Um CSIRT pode ser um grupo formal ou um grupo "ad hoc". Um grupo


formal tem no trabalho de resposta a incidentes a sua principal função.
Um grupo "ad hoc" é reunido quando há um incidente de segurança em
andamento ou para responder a um incidente quando necessário.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/


O que é um incidente de segurança?
• Qualquer evento adverso, confirmado ou sob suspeita, relacionado à
segurança de sistemas de computação ou redes de computadores.
– Exemplos de incidentes incluem atividades como:
• tentativas (com ou sem sucesso) de ganhar acesso não autorizado
a sistemas ou a seus dados;
• interrupção indesejada ou negação de serviço;
• uso não autorizado de um sistema para processamento ou
armazenamento de dados;
• modificações nas características de hardware, firmware ou
software de um sistema, sem o conhecimento, instruções ou
consentimento prévio do dono do sistema.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/


Qual a necessidade de um CSIRT
em uma organização?
• Quando um incidente de segurança ocorre, torna-se crítico para a
organização ter uma maneira eficaz de responder a este incidente.
• A rapidez com que a organização pode reconhecer, analisar e responder a
um incidente limitará os danos e diminuirá o custo de recuperação.
• Um CSIRT deve estar apto para:
– conduzir uma resposta rápida para conter o incidente de segurança e
para recuperar-se dele.
– trabalhar em conjunto com outras áreas da organização de maneira
proativa garantindo que novos sistemas sejam desenvolvidos e
colocados em produção com segurança e em conformidade com as
políticas de segurança.
– ajudar a identificar áreas vulneráveis da organização e, em alguns
casos, realizar análise de vulnerabilidades e detecção de incidentes.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/


Tipos de CSIRTs
• Os CSIRTs possuem diferentes tamanhos e características e servem a
comunidades diversas.
• Alguns CSIRTs dão suporte a um país inteiro, outros podem prover
assistência a uma região em particular. Outros ainda podem prover
suporte para uma universidade ou organização comercial em particular.
• CSIRTs internos, provêem serviços de tratamento de incidentes para a
organização que os mantêm.
• Centros de Coordenação, coordenam e facilitam as ações de resposta a
incidentes entre diversos CSIRTs.
• Centros de Análise focam seus serviços em agrupar dados de diversas
fontes para determinar tendências e padrões nas atividades relacionadas
com incidentes.
• Grupos de empresas fornecedoras de hardware e software processam
relatos de vulnerabilidades em seus produtos.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/


CSIRT na estrutura organizacional
• Não há uma localização hierárquica padrão onde um CSIRT possa ser
encontrado na estrutura organizacional.
• Alguns CSIRTs são parte de um grupo de TI já existente. Outros podem ser
parte de um grupo de segurança ou podem trabalhar em conjunto com o
grupo responsável pela segurança física.
• Os CSIRTs podem também estar no grupo de auditoria, enquanto outros
são uma entidade separada.
• Muitas organizações estão começando a olhar para o desenvolvimento de
um CSIRT como parte dos seus planos de continuidade dos negócios e de
recuperação de desastres.
• Independentemente da posição do CSIRT, é vital que ele tenha o apoio da
administração da organização e que possua autoridade para realizar o
trabalho necessário.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/


Que serviços um CSIRT provê?

• Um CSIRT pode exercer tanto funções reativas quanto funções pró-ativas


(treinamentos de conscientização, detecção de intrusões, penetration test,
documentação e até desenvolvimento de programas) para auxiliar na
proteção e segurança dos recursos críticos de uma organização.

• Não existe um conjunto padronizado de funções ou serviços providos por


um CSIRT. Cada time escolhe seus serviços com base nas necessidades da
sua organização e da comunidade a quem ele atende.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/


Tratamento de Incidentes
• O tratamento de incidentes é composto por: notificação do incidente,
análise do incidente e resposta ao incidente.
• Notificação do incidente
– Receber notificações de incidentes habilita o CSIRT a servir como um
ponto central de contato para notificação de problemas locais.
– Estas informações podem ser utilizadas para determinar tendências e
padrões de atividades de invasores e para recomendar estratégias de
prevenção adequadas para toda a sua comunidade.

• Análise de incidentes
– Análise de incidentes envolve analisar a fundo uma notificação de
incidente ou uma atividade observada para determinar o escopo,
prioridade e ameaça representada pelo incidente, bem como
pesquisar acerca de possíveis estratégias de resposta e erradicação.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/


Tratamento de Incidentes
• Resposta ao incidente
– Elaborar e divulgar recomendações para recuperação, contenção e
prevenção, que são enviadas para os membros da comunidade por ele
atendida e para os administradores de redes e sistemas que serão
responsáveis por implementar os passos referentes à resposta ao
incidente.
– Compartilhar informações e lições aprendidas com outros grupos de
resposta a incidentes e com outras organizações.

• Estes componentes do tratamento de incidentes são os serviços reativos


que um CSIRT pode prestar.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/


Tamanho de um CSIRT

• O tamanho da equipe de um CSIRT deve ser baseado nos recursos


disponíveis e nos serviços que necessitam ser providos.

• Um modelo que funciona para uma organização pode não funcionar para
outra.

• A experiência mostra que nenhum time quer ter um único ponto de falha,
portanto, ter apenas uma pessoa dedicada à resposta de incidentes pode
não ser suficiente.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/


Quem trabalha em um CSIRT?

• Membros de um CSIRT possuem uma diversidade de conhecimentos


técnicos e de traços de personalidade (incluindo habilidades de
comunicação e de relacionamento pessoal).

• Os membros de um CSIRT são dedicados, inovadores, detalhistas, flexíveis


e metódicos. Eles possuem habilidade para resolver problemas, são bons
comunicadores e têm capacidade para lidar com situações estressantes.

• Uma das características pessoais mais importantes que um membro de


um CSIRT pode ter é a integridade.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/


Como uma organização inicia um CSIRT?
• O processo de organização de um CSIRT dependerá dos prazos a serem
cumpridos, recursos disponíveis e das características únicas de cada
organização.
• Componentes:
– Obter suporte da administração
– Definir os objetivos estratégicos gerais do CSIRT e os serviços que
serão providos.
– Projetar a estrutura do CSIRT com base:
• na comunidade e a organização a serem atendidas pelo CSIRT
• na missão e os objetivos do CSIRT
• nos serviços a serem providos pelo CSIRT
• no modelo organizacional que é mais apropriado para o CSIRT e o
relacionamento que ele tem com a organização que o mantém e
com seus clientes
• nos fundos para estabelecer o CSIRT e manter suas operações
• nos recursos necessários para o CSIRT
– Comunicar a estrutura do CSIRT e o plano operacional para a
organização.
Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/
Como uma organização inicia um CSIRT?
• Uma vez obtido o suporte por parte da administração, implementar o
CSIRT.
• A implementação incluirá:
– contratar e treinar o pessoal do CSIRT;
– comprar equipamentos e construir a infraestrutura do CSIRT de modo
a dar suporte para o time e para as necessidades da comunidade a ser
atendida;
– desenvolver as políticas e procedimentos do CSIRT para dar suporte às
atividades do dia-a-dia e aos objetivos a longo prazo;
– desenvolver recomendações para sua comunidade sobre como
reportar incidentes e assegurar que eles compreendam e tenham
acesso a estas recomendações;
– anunciar o CSIRT para sua comunidade assim que ele estiver
operacional;
– identificar um mecanismo para avaliar a eficácia do CSIRT (através do
retorno da comunidade, por exemplo) e melhorar os processos do
CSIRT conforme necessário.

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/


O que é o FIRST?

• O FIRST é o fórum internacional de grupos de segurança e resposta a


incidentes.

• Estabelecido em 1990, o FIRST é uma coalizão que reúne diversos grupos


de segurança e resposta a incidentes governamentais, comerciais e
acadêmicos.

• Participar da conferência anual do FIRST pode ser uma maneira de um


novo time aprender mais a respeito das técnicas e estratégias necessárias
para prover um serviço de resposta, bem como uma maneira de entrar em
contato com os grupos já estabelecidos.

• http://www.first.org/

Cartilha de Segurança para Internet - CERT.br - http://cartilha.cert.br/cc/


Simulados

1) Qual é o objetivo de um CSIRT?

a) Receber, analisar e responder a notificações e atividades relacionadas a


incidentes de segurança em computadores.
b) Garantir que as mudanças aconteçam de forma planejada e controlada
dentro das organizações.
c) Garantir que a TI suporte adequadamente os objetivos e as estratégias
organizacionais.
d) Direcionar as atitudes dos colaboradores para que estejam em
conformidade com a conduta esperada pela alta gestão.
Simulados

2) Identifique nas alternativas abaixo o tipo de CSIRT responsável por


coordenar e facilitar as ações de resposta a incidentes entre diversos CSIRTs.

a) CSIRTs internos
b) CSIRTs nacionais
c) Centros de Coordenação
d) Centros de Análise
Referências bibliográficas

• ASSUNÇÃO, Marcos F. A. Segredos do Hacker Ético. 5. ed. Florianópolis:


Visual Books, 2014.

• Cartilha de Segurança para Internet. Disponível em http://cartilha.cert.br/

• CSIRT FAQ. Disponível em http://www.cert.br/certcc/csirts/csirt_faq-


br.html/

• MELO, Sandro. Exploração de Vulnerabilidades em Redes TCP/IP. 3. ed. Rio


de Janeiro: Alta Books, 2017.

• SÊMOLA, Marcos. Gestão de Segurança da Informação - Uma visão


executiva. 2. ed. Rio de Janeiro: Elsevier, 2013.